av Mikael Winterkvist | jul 26, 2025 | Bluesky, Säkerhet, Threads
En omfattande dataläcka har blottat känsliga uppgifter om miljontals svenska medborgare och företag. Personnummer, inkomstdata, skulder och adresshistorik har legat fritt tillgängliga på en felkonfigurerad server – utan lösenord eller kryptering.
Läckan upptäcktes i maj 2025 av säkerhetsforskare vid sajten Cybernews. Deras genomgång visade att över 100 miljoner poster med information från åren 2019 till 2024 kunde nås av vem som helst via internet. Bland uppgifterna fanns både privatpersoners deklarationer och detaljerade upplysningar om affärsrelationer, kreditupplysningar och betalningsanmärkningar.
Varnar
Flera experter varnar för att databasen kan ha utnyttjats i kriminellt syfte. Informationen gör det möjligt att identifiera särskilt utsatta individer – exempelvis utifrån hög inkomst, många adressbyten eller återkommande ekonomiska problem.
– Om du kan filtrera information utifrån sådana parametrar, då kan du också hitta personer som är intressanta för bedrägerier, utpressning eller andra typer av angrepp, säger IT-säkerhetsexperten Karl Emil Nikka i en intervju med Ekot.
Svensk kund
Läckan spårades initialt till det danska kredit- och analysföretaget Risika. Enligt företaget låg ansvaret hos en svensk kund, som de av juridiska skäl inte vill namnge. Samtidigt har varken företaget eller någon kund rapporterat incidenten till Integritetsskyddsmyndigheten – något som krävs enligt gällande dataskyddslagstiftning.
Hur länge databasen låg öppen är ännu inte klarlagt.
Källor:
av Mikael Winterkvist | jul 22, 2025 | Bluesky, Säkerhet, Threads
Hackare med koppling till den kinesiska staten har förknippats med en omfattande våg av attacker som utnyttjar en ny sårbarhetskedja i Microsoft SharePoint. Angreppen har riktats mot SharePoint-servrar som körs lokalt hos organisationer runt om i världen.
Den aktuella sårbarheten, som fått namnet ToolShell, har använts för att ta sig in i tiotals organisationer genom att utnyttja två säkerhetsluckor: CVE-2025-49706 och CVE-2025-49704. De demonstrerades först under säkerhetskonferensen Pwn2Own i Berlin.
Enligt det nederländska säkerhetsföretaget Eye Security har minst 54 organisationer redan drabbats, däribland multinationella företag och nationella myndigheter.
Microsoft har åtgärdat sårbarheterna i samband med juli månads säkerhetsuppdateringar. Två nya CVE-koder, CVE-2025-53770 och CVE-2025-53771, har tilldelats för de sårbarheter som utnyttjats även i fullt uppdaterade system. Företaget har också släppt akuta säkerhetsuppdateringar för SharePoint Subscription Edition, SharePoint 2019 och SharePoint 2016.
En så kallad proof-of-concept-kod (PoC) för sårbarheten CVE-2025-53770 har nu publicerats på GitHub, vilket gör det möjligt för fler aktörer att utnyttja bristen.
Den amerikanska cybersäkerhetsmyndigheten CISA har lagt till CVE-2025-53770 i sin lista över kända exploaterade sårbarheter. Myndigheten har beordrat federala myndigheter att installera tillgängliga uppdateringar dagen efter att de släpptes.
Enligt CISA gör ToolShell-attacken det möjligt att få åtkomst till system utan autentisering. Angripare kan därefter få tillgång till SharePoint-innehåll, filsystem, interna konfigurationer och exekvera kod över nätverket.
Myndigheten uppger att Microsoft agerar snabbt och att man samarbetar för att informera berörda verksamheter. CISA uppmanar alla organisationer med lokalt installerade SharePoint-servrar att vidta de rekommenderade åtgärderna omedelbart.
Källa:
Bleeping Computer
av Mikael Winterkvist | jul 21, 2025 | Bluesky, Säkerhet, Threads
Microsoft varnar för en pågående global cyberattack mot SharePoint Server. En tidigare okänd sårbarhet (Zero-Day) utnyttjas för att ta kontroll över servrar, stjäla data och installera bakdörrar.
Attacken påverkar lokala installationer av SharePoint 2019 och Subscription Edition. Molntjänsten SharePoint Online är inte drabbad. Enligt cybersäkerhetsföretag började angreppen den 18 juli och har riktats mot organisationer i bland annat USA, Europa och Asien. Flera myndigheter och skolor har redan fått sina system komprometterade.
Sårbarheten, som fått beteckningen CVE-2025-53770, gör det möjligt för angripare att köra skadlig kod med fulla rättigheter. Det innebär att även krypteringsnycklar och autentiseringsuppgifter kan stjälas. Enligt säkerhetsanalytiker finns det tecken på att vissa aktörer återkommer efter att en server blivit åtgärdad.
Microsoft har nu släppt säkerhetsuppdateringar för SharePoint 2019 och Subscription Edition. En patch för SharePoint 2016 väntas inom kort. Amerikanska säkerhetsmyndigheter uppmanar alla organisationer att antingen installera uppdateringarna omedelbart – eller isolera systemen tills åtgärder vidtagits.
Enligt uppskattningar är tiotusentals SharePoint-servrar utsatta världen över.
Källor:
av Mikael Winterkvist | jul 20, 2025 | Bluesky, Säkerhet, Threads
Microsoft har publicerat information om en kritisk sårbarhet i Microsoft SharePoint Server On-premises, vilken utnyttjas aktivt. Sårbarheten CVE-2025-53770 har av tillverkaren tilldelats en klassning på 9.8 av 10. [1] [2]
I dagsläget finns det ingen uppdatering tillgänglig, Microsoft har dock publicerat förslag på mitigerande åtgärder, och detaljerad information om hur ett utnyttjande kan detekteras samt publicerat IOC:er. [3]
Källa: BM25-001 Kritisk sårbarhet i Microsoft SharePoint Server On-premises utnyttjas aktivt – CERT-SE
av Mikael Winterkvist | jul 18, 2025 | Bluesky, Säkerhet, Threads
Bedragarna tar alla chanser att försöka att lura oss att lämna ifrån oss våra kontouppgifter.
Just nu, i semestertider och i sommarvärmen, har det skickats ut ett stort antal falska mail ut som utger sig för att komma från Easy Park, en populär app för att parkera.
I mailet uppmanas du att uppdatera dina uppgifter – alltså logga in för att göra det. Avsändaren är falsk liksom inloggningsidan och mailet kommer inte från Easy Park.
av Mikael Winterkvist | jul 16, 2025 | Bluesky, Säkerhet, Threads
Ett omfattande internationellt tillslag har slagit ut centrala delar av det pro-ryska cyberkriminella nätverket NoName057(16). Operationen, som koordinerades av Europol och Eurojust under kodnamnet Eastwood, ägde rum mellan den 14 och 17 juli och involverade polis- och åklagarmyndigheter från tolv länder, däribland Sverige.
NoName057(16) har pekats ut som ansvarigt för en lång rad överbelastningsattacker mot myndigheter, banker och institutioner i länder som stöttar Ukraina. Gruppen har tidigare attackerat svenska mål och deltog bland annat i attacker mot svenska myndighetssidor och banker under 2023 och 2024.
Infrastruktur
Under insatsen genomfördes 24 husrannsakningar i bland annat Tyskland, Italien, Spanien, Polen, Frankrike och Tjeckien. Två personer greps – en i Frankrike och en i Spanien – och sju internationella arresteringsorder utfärdades. Tyskland står bakom sex av dessa, varav två gäller personer som tros ha varit huvudansvariga för nätverkets verksamhet. Sammanlagt identifierades och slogs över hundra servrar ut över hela världen, samtidigt som en betydande del av nätverkets infrastruktur togs offline.
De som är aktiva inom NoName057(16) utgörs främst av rysktalande sympatisörer som genomför så kallade DDoS-attacker – där webbplatser och digitala tjänster överbelastas för att slås ut. Gruppen saknar formell ledning och använder enkla verktyg för att koordinera attacker. Flera hundra individer som misstänks ha deltagit i angreppen informerades av nationella myndigheter om att deras agerande kan medföra rättsliga konsekvenser. Bland dessa finns ett femtontal identifierade administratörer.
Ukraina
Enligt Europol har NoName057(16) särskilt riktat in sig på mål i länder som gett aktivt stöd till Ukraina, däribland flera NATO-medlemmar. I Tyskland har gruppen genomfört fjorton angreppsvågor sedan november 2023, riktade mot över 250 organisationer. I Schweiz sammanföll flera attacker med politiska evenemang kopplade till Ukraina, och i Nederländerna bekräftades en attack i samband med NATO-toppmötet tidigare i år.
Europol ledde samordningen mellan länderna och agerade nav för informationsutbyte och operativt stöd. Myndigheten organiserade ett trettiotal möten och etablerade ett gemensamt kommandocentrum med representanter från bland annat Frankrike, Spanien, Tyskland och Nederländerna. Eurojust koordinerade de rättsliga åtgärderna under insatsen och ansvarade för internationell rättshjälp och europeiska utredningsorder.
Ryssland
Utredningen visar att NoName057(16) använt chattkanaler, forum och meddelandetjänster för att rekrytera deltagare, sprida instruktioner och förstärka budskap. Deltagare har fått betalt i kryptovaluta och motiverats genom topplistor och digitala belöningssystem – något som enligt Eurojust lockat yngre användare genom ett slags spelifiering. Målet har varit att försvara Ryssland och slå tillbaka mot väst.
Utöver Sverige deltog även bland annat Tyskland, Frankrike, Finland, Schweiz, Nederländerna, Spanien, Polen, Italien, USA, Litauen och Tjeckien i operationen. Belgien, Danmark, Estland, Kanada, Lettland, Rumänien och Ukraina gav tekniskt och operativt stöd.
Källor:
