FÖRENKLAD VERSION

CGI Sverige — Vad hände?

Name: Pentesting.se Security Platform
Brand: Adminor AB
Price: 249 SEK
Availability: InStock
Rating: 4.8 (12 reviews)

En sammanfattning för journalister och icke-tekniska läsare

Av: Pentesting.se / Adminor ABDatum: 2026-03-14

Vad har hänt?

En hackare stal hela källkoden och alla konfigurationsfiler från CGI Sveriges plattform för e-förvaltning. Det är den plattform som svenska myndigheter använder för att identifiera medborgare digitalt — till exempel när du loggar in med BankID hos en myndighet.

Bland det stulna materialet finns huvudnycklar — hemliga filer som gör det möjligt att förfalska digitala ID:n. Det innebär att någon i teorin kan utge sig för att vara vilken svensk medborgare som helst gentemot alla anslutna myndigheter.

Varför spelar det roll?

Tänk dig att någon stulit originalstämpeln som Skatteverket använder för att stämpla pass. Med den stämpeln kan man tillverka falska pass som ser helt äkta ut. Det är i princip vad som har hänt här — fast med digitala ID istället för fysiska pass.

CGI hävdar att det bara rör sig om "testservrar". Vår analys visar att det finns riktiga lösenord, riktiga nycklar och riktiga databasuppgifter — allt som behövs för att komma åt system i produktion.

Vad stals?

🔑

64 digitala nyckel-filer — varav minst 20 fortfarande fungerar (giltiga till 2027–2034). Det är som att hitta 64 nycklar till låsta rum, varav 20 fortfarande öppnar dörren.

🔓

30+ lösenord i klartext — samma lösenord användes för databaser, e-post och byggsystem. Att använda samma nyckel till huset, bilen och kontoret.

📄

21 kompletta kodarkiv — hela ritningarna för hur systemet fungerar, inklusive hur man loggar in, signerar dokument och skickar data mellan myndigheter.

📬

Digitala pass för myndighetskommunikation — certifikat som bevisar "jag är MSB" eller "jag är Boverket" i det säkra postsystemet som myndigheter använder sinsemellan (SHS). Den som har passet kan utge sig för att vara den myndigheten.

Hur allvarligt är det?

KRITISKT

Förfalskning av digitala ID

Med de stulna signeringsnycklarna kan en angripare skapa falska inloggningar som ser helt äkta ut — för vilken svensk medborgare som helst. Dessutom var säkerhetskontrollerna som ska fånga sådana förfalskningar avstängda i konfigurationen.

HÖGT

Åtkomst till databaser och försvarsmaterial

Samma lösenord återanvändes i minst 8 olika system. Bland de drabbade finns Försvarets Materielverk (FMV), vars signeringsnycklar låg lagrade i kodarkivet istället för i säker hårdvara.

MEDEL

Personuppgifter och spridningsrisk

Personnummer hittades i de stulna filerna. Hackaren har annonserat att medborgardatabaser säljs separat. Det finns också en SMS-gateway utan lösenord som kan användas för att skicka bluffmeddelanden.

Vilka berörs?

Följande organisationer har bekräftats i det stulna materialet:

MSBMyndigheten för samhällsskydd och beredskap — fullständig systemkonfiguration stulen

FMVFörsvarets Materielverk — signeringsnycklar stulna

KammarkollegietSigneringscertifikat giltigt till 2030

IVOInspektionen för vård och omsorg — formulär för Lex Maria-anmälan

BoverketDigitalt pass för myndighetskommunikation stulet

Karlstads kommunDigitalt pass + medborgarportal

BolagsverketInloggningsuppgifter för integration

EnergimarknadsinspektionenCertifikat giltigt till 2030

Folksam & Akademiska HusKundkonfiguration för digital signering

Ytterligare minst 7 organisationer har identifierats.

Vad borde hända nu?

1Alla stulna nycklar och lösenord måste bytas ut — omedelbart. Varje timme som går innebär risk för missbruk.
2Säkerhetskontrollerna som var avstängda måste slås på igen. Systemet ska inte acceptera osignerade identitetsbevis.
3Alla drabbade myndigheter måste granska sina loggar för att se om någon redan har använt det stulna materialet.
4Incidenten ska anmälas till Integritetsskyddsmyndigheten (IMY) enligt GDPR — inom 72 timmar.
5Nycklarna bör flyttas till dedikerad säkerhetshårdvara (HSM) så att de aldrig kan stjälas digitalt igen.

Vem ligger bakom?

Hackaren kallar sig ByteToBreach och har sedan juni 2025 stulit data från flygbolag, banker och myndigheter i över 10 länder. Dagen innan CGI-läckan publicerade samma aktör en passagerardatabas från Viking Line.

Läs den fullständiga tekniska rapporten:

Fullständig teknisk rapport→

För journalister

För ytterligare bakgrund, bekräftelser och intervjuförfrågningar, kontakta oss via pentesting.se.

Denna förenklade rapport är baserad på passiv analys av publikt tillgängliga data. Inga aktiva intrångsförsök har genomförts. Specifika lösenord och sökvägar har medvetet utelämnats.

Kontakt: Pentesting.se / Adminor AB