Logga in på Dagens Nyheter

Här kan du som DN-kund logga in för obegränsad läsning av DN.se, e-DN och DN.Prio.

Med ett gratiskonto kan du följa skribenter och ämnen samt bokmärka artiklar.

Ekonomi

It-attack mot polisen kopplas till bedrägeri

Förra veckan dömdes åtta personer för bedrägerier i Södertörns tingsrätt.
Förra veckan dömdes åtta personer för bedrägerier i Södertörns tingsrätt. Foto: Maja Suslin/TT

En 39-årig man åtalas för minst 100 dataintrång mot polisens it-system, där skyddade personuppgifter lagras. Uppgifterna användes enligt åklagaren för bedrägerier mot kända fotbolls- och ishockeyproffs.

Mannen har tidigare dömts för liknande dataintrång tillsammans med en av grundarna av The Pirate Bay. Nu får företaget som ansvarar för registret skarp kritik för att inte ha stoppat en andra attack.

Den omfattande bedrägeri- och hackarhärvan uppdagades först efter ett tillslag mot en person i Eskilstuna, som misstänktes för narkotikabrott. I hans dator påträffades chattloggar där någon han talar med berättar att han har tillgång till känsliga polisregister. Som bevis genomför han sökningar efter specifika personer och skickar över uppgifterna. Loggarna visar att samtalen fördes under sommaren 2013.

Mannen från chattloggarna kunde spåras till Ludvika. Han greps våren 2014.

Vid intrången ska han ha använt stulna lösenord tillhörande åklagare och anställda på Domstolsverket. Med dessa kunde han söka i register över svenska befolkningen, inklusive personer med skyddade personuppgifter och annat som inte är tillgängligt för allmänheten. Han tros ha tagit sig in i systemen vid minst 100 tillfällen.

– Säkerheten har varit så låg att den åtalade inte har haft några problem att ta sig in. Det explosiva är att registren också innehåller skyddade personuppgifter, säger Mats Ljungqvist, kammaråklagare vid internationella åklagarkammaren.

Så sent som i juni 2013 dömdes den nu misstänkte för sin roll i Sveriges största dataintrångsfall hittills, då tillsammans med Gottfrid Svartholm Warg, känd som medgrundare av fildelningssajten The Pirate Bay. Detta alltså bara två månader innan han i chatten berättade om hur han hackade polisregister, enligt åtalet. Dessa intrång riktades mot samma register.

Företaget Bisnode som driver registren pekas ut som ansvarigt för ett allvarligt säkerhetsmisstag som gjorde intrånget möjligt. Företaget ska ha bytt ut lösenordssystemet efter det tidigare intrånget, men råkat lämna det gamla kvar. Därför kunde mannen, enligt misstankarna, fortsätta logga in med gamla läckta lösenord, långt efter att det tidigare intrånget uppdagades.

– Det är en allvarlig säkerhetsbrist, säger Mats Ljungqvist.

Bisnode avböjer att kommentera uppgifterna.

Enligt åtalet har andra personer som Ludvikabon varit i kontakt med utnyttjat tillgången för att hitta lämpliga offer för bedrägerier. Ligan har sökt upp högt avlönade personer som inte längre är bosatta i Sverige, ändrat deras bokföringsadress tillbaka till landet och därefter kunnat ta stora lån i deras namn.

Många av offren är kända fotbolls- och ishockeyproffs, bland andra de tidigare AIK-spelarna Kwame Karikari och Helgi Daníelsson samt ishockeyspelarna Esa Pirnes, Martin Ševc och Stefan Lassen.

Förra veckan dömdes åtta personer för dessa bedrägerier i Södertörns tingsrätt. De två huvudmännen dömdes till fem år respektive två och ett halvt års fängelse. Åklagaren anser att Ludvikabon vetat om att de stulna uppgifterna användes för bedrägerier i minst ett fall.

– Det är ett oerhört misslyckande att han så snabbt efter att ha blivit dömd återfaller i likartad brottslighet, dessutom som en direkt fortsättning, säger kammaråklagare Mats Ljungqvist.

På grund av kopplingen till polisens register har Säkerhetspolisen har hållit i utredningen. Säpos tekniker har, enligt åklagaren, lyckats säkra bevis i datorer genom att knäcka kryptering och kringgå andra säkerhetsspärrar.

DN har inte kunnat nå mannens försvarare. Enligt åklagaren har mannen erkänt många av brotten.

Fakta. Grovt dataintrång

Dataintrång kan straffas med fängelse i upp till två år.

Sedan 2014 finns även grovt dataintrång med maximalt sex års fängelse. Brotten i det aktuella åtalet begicks dock tidigare än så.