Digitala klubbverktyget Sportadmin med 1700+ klubbar hackat: Data har läckts (jan 2025)

Jag har fått en del samtal från Algeriet senaste dagarna. Å andra sidan har jag haft problem med denna typ av samtal i säkert 10 års tid, efter en annan läcka… Men Afrika är något nytt. Startade i torsdags.

Är datan läckt? Verkar lite tvetydligt i tråden. Såg någon artikel att det skulle vara läckt, men den kanske inte stämmer

Nej, det är extremt tydligt i tråden vad status är.

Nu är det ju som sådant att ingen föreningsmedlem lägger in sina uppgifter i SportsAdmin. Företaget har fjäskat för Riksidrottsförbundet så de har fått tillgång till Skatteverkets API genom länkning med IdrottOnlines API. Det enda som familjerna behöver uppge är namn och personnummer till föreningen.

RF gjorde IdrottOnline skyddad genom FrejaID eller BankID, men det har uppenbart inte SportsAdmin gjort.

Sedan förstår jag inte uppståndelsen i tråden: Föreningsmedlemmar har medvetet gett samtycke till att kreti och pleti skall behandla deras personuppgifter inom de klubbar som de är medlemmar i. Ingen medlem har ett uns hum om vilka det är som behandlar dessa uppgifter. SportsAdmin har i regel inga uppgifter som inte finns på andra ställen då de använder IdrottOnlines API till Skatteverkets folkbokföring. Så ifall RansumHub har källkoden till appen kan de hämta hem alla svenska medborgares personuppgifter genom APIn. För det du gör i både IdrottOnline och i SportsAdmin är att söka på ett personnummer så får du upp den info som Skatteverket har om personen.
Sedan finns det givetvis extra information om lokala uppgifter såsom allergier hos barn, vilka som har betalat, vilka som har vissa roller, vilka lag osv.

Så, har du tillgång till Skatteverkets API genom t.e.x. SportsAdmin eller IdrottOnline kan du söka på vilket personnummer du vill och få ut uppgifterna. APIt filtrerar inte behörighet.

Hade jag haft barn med skyddad identitet hade jag varit väldigt noggrann med vilken förening jag sätter barnet i samt vilka personer som har rollerna för LOK och personuppgifter. Sedan hade jag på årsmötet propsat på att se till att föreningen enbart använder IdrottOnline som har skydd för obehöriga.

När jag loggar in på SportAdmin så kan jag lägga till och ändra mina personuppgifter. Namn och epost är låst men adress, målsmans personuppgifter och två checkboxar för "Får ej visas på foto" och "Visa kontaktinformation" finns för mig att ändra på.

Enligt skatteverket så är det bara offentliga aktörer såsom myndigheter, kommuner och regioner som får tillgång till deras API för persondata. Räknas verkligen SportAdmin in bland dessa eller menar du något annat API, typ SPAR?

Hur skyddar BankID IdrottOnline? Det är ju inte fråga om att enskilda konton blivit kapade för att SportAdmin använder någon dålig form av autentisering utan att någon gjort intrång i deras system och dumpat hela databasen. Även om man loggar in med BankID så ligger ju likväl uppgifter så som personnummer länkat till idrottsförening i någon databas någonstans. Personnummer är väl minsta möjliga för att tillhandhålla det system som SportAdmin och IdrottOnline gör och troligtvis lagrar man mycket mer persondata för att inte behöva spamma något API bara för att få fram namnen på de ungar som ska vara närvarande vid en viss fotbollsträning.

De har ju visst uppgifter som inte finns på andra ställen. På vilka andra ställen hittar du uppgifter om vilka idrottsföreningar en person tillhör, vilka tider/pass en person tränar eller ens vad en persons barn eller föräldrar heter? Enligt SPAR lämnas uppgifter om vårdnadshavare endast ut till myndigheter, banker, kreditupplysningsföretag, försäkringsföretag och läkemedelsföretag.

Bara för att man ger samtycke till att ens data hanteras samtycker man inte till att de publiceras öppet på nätet. Jag tror definitivt att de föräldrar som bockat i att deras barn ej får förekomma på bilder ger samtycke till och tycker att det är okej att alla tränare eller dylikt kan se att så är fallet. Vad de inte samtyckt till är att denna informationen nu faktiskt ser ut att kunna läsas av vem som helst.

Utöver de ganska känsliga uppgifterna om barn med skyddad identitet så handlar "uppståndelsen i tråden" om att det är en väldigt stor dataläcka med svenska mått mätta som dessutom innehåller information som är väldigt bra att använda i olika sorters phisingattacker. Det är också intressant att följa fallet då man inte vet alls vilka rättsliga påföljder en sådan här dataläcka ger för ett företag.

Dina påståenden är snudd på ot för tråden.

Självklart kan du lägga till lokala uppgifter för föreningen. SportAdmin har länkat API ,ed IdrottOnline, som har en länkad API till Skatteverket. Det för att RF är till hälften en myndighet.




Alla som har en personuppgiftsroll i IdrottOnline (ofta bara LOK-ansvarig och föreningsadmin.) måste logga in med Freja för att se medlemsmatrikeln. I SportsAdmin kan alla föreningsfunktionärer se personuppgifter.

Nu har antingen en föreningfunktionär varit inne och dumpat personuppgifter eller så har gruppen lyckats få tillgång till källkoden.



IdrottOnline har koll på vilka föreningar som en medlem är medlem i. Detta för att inte en medlem ska lyfta LOK på två föreningar samma dag. Samma gäller träningsnärvaro som är kopplat till LOK.




Då får man väl se till att föreningen inte använder osäkra tjänster som SportsAdmin eller reklampelaren laget.se.

Jag förstår inte riktigt vad du argumenterar för. Du verkar tycka att IdrottOnline är mycket bättre än SportAdmin för att man loggar in med BankID/FrejaEid och att IdrottOnline inte låter lika många inom klubbarna se medlemmarnas personuppgifter.

Det är inte en föreningsfunktionär som varit inne och dumpat personuppgifterna på medlemmarna i någon klubb, det är någon som fått tillgång till hela SportAdmins backend och exfiltrerat hela deras databas och även annan data. Menar du att det är SportAdmins plattform som varit ingångspunkt för hackarna, en gammal hederlig SQL-injection eller en sån fundamental fuckup att man genom deras webbgränssnitt kan exekvera kod på deras servrar? Jag tycker att det känns mycket troligare att SportAdmin glömt uppdatera något gammalt system de knappt använder längre och att hackarna tagit sig in där.


Vidare förminskar du hela händelsen då du verkar tycka att folk får skylla sig själva för att de litat på SportAdmin och att hackarna troligtvis kommit över API-nycklar och därför kan få tag på personuppgifter direkt från Skatteverket vilket du tycker är värre.

Ingen har gett samtycke till att deras data ska läcka utanför sin idrottsförening. Man förväntar sig alltid att de som hanterar ens data ska säkra upp sina system tillräckligt för att något sånt här inte ska kunna hända. Att API-nycklarna skulle användas för att orsaka en dataläcka av samma magnitud som läckan av SportAdmins databas känns inte troligt heller tycker jag. Skatteverket lär kunna detektera och blockera udda användning av deras API endpoints. De borde även vara ganska snabba på att återkalla rättigheterna för API-nycklar som eventuellt läckt. Jag har aldrig hört att läckta API-nycklar skulle vara något stort problem när diverse kommuner eller större företag blivit utsatta för exakt samma sak som SportAdmin.

Vems fel det än är och huruvida hackarna kunde använda någon API-nyckel för att söka upp personuppgifter så är detta fortfarande en historiskt stor läcka av personuppgifter i Sverige och även en läcka som är ovanligt väl lämpad att använda för phishingattacker.

Jag vill inte lägga mig i ert gnabbande, men även jag är nyfiken på vad för API hos Skatteverket Methos menar har använts om inte SPAR (som även det har IP-vitlistor för åtkomst, så vitt jag vet). (Dessutom fås SPAR-informationen via enkla datalistor och inte strikt ett API åtminstone för en 15-20 år sedan, och innehåller definitivt inte information om skyddad identitet.)

Oavsett vad Sportadmin har integrerat med Skatteverket är det inte som att man kan (bör kunna) skicka förfrågningar till Skatteverket och få reda på om en person har skyddade uppgifter. Rimligtvis kan man göra någon slags deduktion från icke-svar om man vet att man har rätt API-tillgång och uppgifter, men det är en annan fråga och ämne.

Vad gäller Sportadmin-läckan är jag mest irriterad över att denna typen av uppgifter inte anonymiserats och krypterats. Detta var en av de viktigaste och kanske en bland många häpnadsväckande rekommendationer/semi-krav som kom med GDPR som mängder med företag runt Europa fick börja jobba med för åratal sedan. Lime är definitivt stora nog och har haft egna GDPR-genomförandearbeten, så att så här känsligt data inte krypterats och anonymiserats är en skam för dem och de borde få på fingrarna om detta.

Artikel 32.1 (a) av GDPR torde vara det som gäller i sammanhanget.

Som en parentes står Sportadmin.se fortfarande som Uploading på Ransomhubs sida. Om den inte kommer upp snart kommer de förlora vad för lite extracentimeter av e-penis de kunde få av detta, känner jag.

Den största attackvektorn är just injektioner eller andra sådana ingrepp mot hemsidan.




När du registrerar en ny medlem i t.ex IdrottObnline slår du in personnumret och allting fylls i automatiskt, precis som Klarna gör när du handlar. Denna funktion är en API från folkbokföringen. Uppgiften om skyddad ID kommer av medlemmen själv där klubbarna har samlat in informationen.


Tietos förehavanden var större då patientjournaler var på vift.



" IdrottOnline kan idrottsföreningar administrera sitt medlemsregister och aktivera integrationer med andra föreningsadministrativa system. Ett gemensamt centralt register över organisationer och medlemmar möjliggör en korrekt bild av Sveriges idrottsrörelse och förstärker både beslutsunderlag och påverkansarbete. Det centrala registret är alltid uppdaterat mot folkbokföringen (SPAR), utan extra kostnad för idrottsföreningen, och Riksidrottsförbundet lagrar och hanterar datan på ett säkert sätt."


Så ja, SportsAdmin snyltar på IdrottOnline för att medlemmarna ska vara i RFs centrala register.





Uppgifterna är nog krypterade i någon .net eller SQL-form. Men kryptering hjälper föga om hackarna har tillgång till källkoden, då systemet måste hämta den krypterade data på något sätt.

Uploading-markeringen är borttagen och nu heter inlägget sportadmin.se<Auction>

Ja, och de har också lagt till kontaktuppgifter, för de som vill delta i auktionen.

Hur mycket tror ni de kan sälja detta för?

Ah, det missade jag. Jag har noll koll på värdet av såna här saker och dessa kretsarna. Om jag tillåts spekulera så några tio tusen till låga sexiffriga belopp, kanske? Skulle tro att värdet här ligger i fortsatt utpressning gentemot Lime och Sportadmin-användare.