El incidente en Miljödata, empresa que presta servicios tecnológicos a la mayoría de los municipios suecos, expuso información sensible de ciudadanos en todo el país. La autoridad de protección de datos IMY abrió una investigación para determinar posibles fallos de seguridad y violaciones al GDPR.
La Autoridad Sueca para la Protección de la Privacidad (IMY) inició una investigación formal tras el ciberataque contra la empresa Miljödata, un proveedor de sistemas de TI que presta servicios a cerca del 80% de los municipios de Suecia. El incidente, revelado en agosto e informado en este blog, habría afectado a más de 1,5 millones de personas y resultó en la publicación de información personal y médica en la dark web, generando una de las mayores brechas de datos en la historia de ese país.
Miljödata confirmó que los atacantes robaron una gran cantidad de datos y exigieron un rescate de 1,5 bitcoins para no divulgar la información. El ataque generó interrupciones en los servicios públicos y afectó a ciudadanos de diversas zonas del país.
De acuerdo con los primeros reportes, los datos comprometidos incluyen nombres, direcciones, teléfonos, identificaciones gubernamentales, certificados médicos, planes de rehabilitación y registros de lesiones laborales, entre otros documentos sensibles. Parte de esta información fue posteriormente publicada por el grupo de amenazas Datacarry en su portal de la dark web, junto con un archivo de 224 MB que contendría la información robada.
“El incidente de Miljödata significó que una gran parte de la población sueca tuvo sus datos personales expuestos -en muchos casos, información sensible- en el Darknet”, señaló Jenny Bård, jefa de la unidad de videovigilancia de IMY. “La filtración plantea preguntas sobre el nivel de seguridad y los tipos de datos almacenados en los sistemas. Nuestro objetivo principal es investigar las deficiencias y aprender de ellas para reducir el riesgo de incidentes similares”.
La autoridad de protección de datos centrará la investigación en Miljödata y en varias entidades públicas afectadas, incluyendo la Ciudad de Gotemburgo, el Municipio de Älmhult y la Región de Västmanland, con especial atención al tratamiento de información de menores, personas con identidades protegidas y ex empleados. Aunque IMY no ha determinado un plazo para concluir la investigación, indicó que podría ampliarse a otras organizaciones si se detectan responsabilidades adicionales.
Hasta la fecha, no se ha confirmado quiénes están detrás del ataque, ni cómo lograron vulnerar los sistemas de Miljödata.