Stäng

Använd knapparna för att ändra textstorleken på sidan. Du kan också justera storleken permanent i din webbläsare, genom att gå in under menyalternativet ”Visa”. I Internet Explorer och Firefox väljer du därefter ”Textstorlek”, i Google Chrome ”Zooma in” eller ”Zooma ut” och i Opera ”Zoomfaktor”.

Större Större Mindre Mindre Återställ Återställ
Meny Sök Bli medlem

Information om SMS Teknik AB

Det som har hänt är att företaget som vi använder för att skicka SMS som heter SMS Teknik AB hade en säkerhetslucka från den 12 till 19 augusti 2024. Vi vet nu att denna lucka inte har drabbat oss.

 

 

 

Inga uppgifter för Psoriasisförbundets medlemmar har läckt

Samtliga uppgifter är och har varit i säkert förvar.  Nedan information har tagits fram i tron om att de uppgifter som SMS Teknik delat med Psoriasisförbundet innebar att medlemmarna blivit exponerade för företagets säkerhetslucka.

Till att börja med ber vi på Psoriasisförbundet om ursäkt för att en del uppgifter har namnat i fel händer. Företaget SMS Teknik AB har vidtagit långtgående åtgärder för att se till att det inte ska återupprepas, vilka presenteras nedan. Vi på Psoriasisförbundet kommunicerar vidare den information som vi har fått från företaget samt vår egen analys. Händelsen ligger utanför Psoriasisförbundets säkerhet där det hos oss är begränsat att komma åt SMS Tekniks information om man inte har rätt uppgifter och samtidigt befinner sig på Psoriasisförbundets förbundskansli samt uppkopplad på rätt IP-adress, vilket är ett led i vårt interna säkerhetsarbete i denna fråga, samt att lösenord ändrats.

  • Varför kommunicerar vi detta? Vi skriver till dig för att vara så transparanta och tydliga som möjligt och för att det är lagkrav enligt GDPR. Vi vill att du som är påverkad ska få rätt information.

 

  • Var detta specifikt riktat mot Psoriasisförbundets medlemmar? Nej, säkerhetsluckan som SMS Teknik hade drabbade flera av deras kunder. Vi har ingen kännedom om exakt vilka andra som drabbats men företaget har flera stora kunder som IKEA, SVT, SJ, Svenska Kyrka, Karolinska Institutet och Folksam med mera, varpå vår bedömning är att de som utförde detta trodde att detta skulle vara lukrativt, vilket det inte har varit för utförarna, enligt vår kännedom.

 

  • Kan detta påverka min ekonomi eller min digitala säkerhet? Nej, vi kan inte se hur detta ska kunna påverka på något annat sätt än att tredje part kommit över information som den inte skulle komma över. Syftet med attacken var inte primärt att komma åt dina uppgifter utan att försöka få SMS-teknik att betala pengar till de som utfört detta. Händelsen kan liknas vid att hitta era uppgifter genom till exempel hitta.se med skillnaden att även ett meddelande från Psoriasisförbundet har framkommit. Det finns ingen direkt koppling till medlemsregistret. Som vanligt manar vi till försiktighet med att klicka på okända länkar. Mer om detta nedan.

 

  • Hur många avdelningar handlar detta om? Det handlar om dessa tre lokalavdelningar: Borlänge-Falun, Skaraborg och Umeå lokalavdelning

 

  • Hur många medlemmar handlar det om? Det handlar om totalt 488 medlemmar.

 

  • Vad har de fått reda på? För 443 av de berörda 488 så har de endast fått reda på att du har fått ett SMS och till vilket mobilnummer det har skickats till. För 45 personer i Umeå lokalavdelning har även namn framkommit, vilket vi i så fall informerat dig om i det SMS vi skickat.

 

  • Vad kan vi göra gemensamt? Precis som vanligt så är det viktigt att inte klicka på länkar som man inte känner igen. Psoriasisförbundet ska framöver använda länkar som antingen börjar på psoriasisforbundet.se eller pso.se. Länkar med annan adress där vi står som avsändare avråder vi från att klicka på. Om du får ett meddelande med annan länk ber vi dig att ta kontakt med oss så att vi får kännedom om detta och kan hjälpa till och undersöka saken närmare.

 

Utöver detta har 23 telefonnummer med endast förnamn till 23 ombud kommits över. I detta fall har inga meddelanden skickats. Samtliga uppgifter har raderats från Psoriasisförbundets sida ur SMS Tekniks databas.

Den information vi har fått från SMS Teknik

Nedan vidareförmedlar vi den information som vi har fått från det utsatta företaget

Hur berör SMS-tekniks säkerhetslucka våra medlemmar: 

Varför meddelar vi detta:

 

Hur kunde det här hända?

Den mänskliga faktorn en person onboardade en databas server in i SMSTekniks datamiljö utan att inse att den var exponerad för internet och återställde en databas backup i syfte att säkerställa att SMS Tekniks kontinuitetsplan fungerade.

 

Vad gör SMS Teknik för att inte en sådan här incident ska kunna inträffa igen?

SMS Teknik har identifierat luckor i rutinen att sätta upp maskiner som ska innehålla kunddata. Till den förra rutinen har vi nu tillfört en checklista med automatiska kommandon för att verifiera nätverksisoleringar. Vi kommer återkomma med den uppdaterade rutinen i våra permanenta åtgärder.

 

Personuppgiftsincidentrapport

Datum och tid då incidenten upptäcktes:

2024-08-19 15:45

 

Beskrivning av incidenten:

I samband med en övning i katastrofåterställning av SMSTekniks driftmiljö på ny hårdvara exponerades backup av vår databas. Säkerhetsluckan var öppen från den 12 till 19 augusti 2024. Under denna period kunde utomstående få åtkomst till backuperna utan något skydd. Den 19 augusti upptäcktes att den återställda databasen hade fått sin data raderad och ersatt med ett utpressningsmeddelande, där bedragarna krävde en lösensumma och hotade att publicera den stulna datan om betalning inte genomfördes.

 

Vidtagna åtgärder:

  1. Så fort dataintrånget upptäcktes åtgärdades säkerhetsbristen och servern där backupen återställts stängdes av från internet.
  2. Ett forensiskt arbete inleddes omedelbart. Incidenten har anmälts till IMY och polisen, och vi har anlitat penetrationsexperter för att undersöka om någon data läckt ut på darknet.

 

Involverade detta personuppgifter?

Ja

 

Datum och tid då incidenten kom till personuppgiftsansvariges kännedom:

2024-08-19 15:45

 

Beskrivning av vilka som är berörda:

Samtliga SMS Tekniks kunder.

 

Kategori av personuppgifter som berörs:

  • Kommunikationsloggar
  • Utgående SMS med mobilnummer, text och avsändare. Ej kunder som begärt anonymisering.
  • Inkommande SMS med mobilnummer, text och avsändare
  • Krypterade användarnamn och lösenord
  • Eventuella adressböcker
  • Kontaktuppgifter och fakturor för SMS Tekniks företagskunder

 

Berörda perioder:

Skickade sms: 2024-06-12 – 2024-08-16

Skickade mms och mottagna sms/mms: 2024-05-12 – 2024-08-16

 

Sannolika konsekvenser:

Det finns en risk att personuppgifter i form av mobilnummer och SMS-meddelanden exponeras på internet.

 

Datum och tid då Integritetsskyddsmyndigheten (IMY) informerades:

2024-08-21 12:59

 

Diarienummer hos IMY:

IMY-2024-10549

 

Kontaktuppgifter för personuppgiftsombud:

E-post: info@smsteknik.se

Telefon: +46 – (0) 524-103 50

 

Psoriasisförbundet har anmält händelsen hos integritetsskyddsmyndigheten med samma diarienummer som SMS Teknik. I en sådan anmälan framkommer inga personuppgifter till våra medlemmar eller ombud om vem som drabbats av SMS Tekniks säkerhetslucka.

 

För frågor och vidare kontakt går det bra att kontakta dataskyddsombudet på leo.askeland@pso.se eller 08-556 106 06

 

Stäng
×
Kakor
Vi värnar om din integritet och du kan välja inställningar nedan. Vår policy för kakor.
Inställningar Acceptera för bästa upplevelse
Kakor
Välj vilken typ av kakor du vill acceptera. Ditt val kommer att sparas i ett år. Vår policy för kakor.
Spara Acceptera för bästa upplevelse