Skatteverkets Bank-ID hackat

Publicerad 14 mars 2026 kl 08.25

Inrikes. Ett dataintrång hos IT-konsultföretaget CGI Sverige – som trots att man blivit hackade flera gånger fortsätter att sköta Skatteverkets plattformar – har lett till att källkod kopplad till Sveriges e-förvaltningstjänster med BankID spridits på nätet. Även personuppgifter och e-signaturer sprids, enligt Darkweb Informer.

Dela artikeln

International Cyber Digest skriver på X att en hackergrupp uppger att de även kommit över databaser och interna uppgifter efter att ha brutit sig in i CGI:s system.

Utöver källkoden till Sveriges "E-förvaltningsplattform" uppger angriparna att de samlat in databaser med medborgares personuppgifter samt dokument kopplade till elektronisk signering. Dessa uppges dock inte ha publicerats öppet utan erbjuds till försäljning separat på Darknet.

Enligt uppgifterna ska läckan även innehålla en intern personaldatabas från CGI, API-åtkomst till ett system för dokumentsignering samt testendpoints för fjärrkörning av kod. Dessutom ska tekniska detaljer om intrånget finnas med, inklusive initiala intrångsmetoder och SSH-nycklar som använts för att ta sig vidare i systemen när hackergruppen väl tagit sig in i den första datorn.

Hackergruppen beskriver attacken som en kedja av flera sårbarheter, varav flera avslöjar inkompetens hos leverantören CGI. Angriparna ska först ha lyckats ta kontroll över en så kallad Jenkins-server.

En Jenkins-server är en server som kör programvaran Jenkins, ett verktyg för automatisering inom mjukvaruutveckling. En sådan server måste skyddas noga eftersom den ofta har mycket höga rättigheter, och själv kan logga in, köra och ersätta filer på flera system.

Servern använder ett så kallat Docker-system som låser in utvecklingen i en skyddad miljö. Men eftersom CGI hade gett Jenkins-användaren rättigheter i Docker-gruppen var det mycket enkelt att bryta sig ur den skyddade miljön och nå resten av systemet, enligt hackarna.

Angriparna använde sedan privata SSH-nycklar för att röra sig vidare mellan servrar. De uppger även att lokala .hprof-filer analyserades för att kartlägga systemet och att SQL-kommandon användes för att skapa ytterligare åtkomst.

Materialet som publicerats uppges innehålla källkod till en plattform kopplad till Skatteverkets e-tjänster och BankID-inloggning. Enligt uppgifter omfattar läckan även lösenord till e-postkonton, personaluppgifter samt konfigurationer för system för elektronisk signering.

CGI bekräftar att ett intrång skett men tonar ned konsekvenserna.

— Händelsen rör två interna testservrar i Sverige som inte används i produktion och används för testning kopplad till ett begränsat antal kunder, säger presstalespersonen Gustaf Nilsson till Expressen.

Vad som skulle vara relevant med huruvida koden eller personuppgifterna används i produktion eller ej framgår dock inte.

403 Forbidden