Hacker claimt broncode Zweeds e-overheidsplatform te hebben gelekt na incident bij CGI

Een cybercrimineel beweert gevoelige gegevens te hebben buitgemaakt bij CGI Sverige, de Zweedse dochteronderneming van het internationale IT-advies- en outsourcingbedrijf CGI Group. De hacker, die online opereert onder de naam ByteToBreach, zegt onder meer broncode en andere vertrouwelijke bestanden te hebben gepubliceerd.

Volgens meldingen van cybersecurity-accounts op X en berichten van de Zweedse krant Aftonbladet zou het gelekte materiaal afkomstig zijn van interne systemen van CGI. Het bedrijf bevestigt dat er een incident heeft plaatsgevonden, maar benadrukt dat het om twee interne testservers ging die niet werden gebruikt voor operationele systemen.

Oude testomgeving toegankelijk

CGI laat weten dat op de getroffen servers een oudere versie van een applicatie en de bijbehorende broncode toegankelijk waren. Volgens het bedrijf zijn er geen aanwijzingen dat productiesystemen of klantgegevens zijn getroffen.

Woordvoerder Agneta Hansson verklaarde tegenover Aftonbladet dat de zaak inmiddels wordt onderzocht door de autoriteiten.

Mogelijk gevoelige gegevens in datalek

Ondanks de verklaring van CGI melden verschillende bronnen dat de gelekte bestanden mogelijk gevoelige informatie bevatten. Volgens berichten zou het onder meer gaan om broncode en configuratiebestanden van een digitaal platform, een interne personeelsdatabase, databases met persoonsgegevens van burgers en documenten voor elektronische handtekeningen.

De mogelijke impact is opvallend, omdat Zweden sterk afhankelijk is van digitale overheidsdiensten. Volgens cijfers van statistiekbureau Eurostat gebruikte in 2024 ongeveer 95 procent van de Zweedse bevolking digitale overheidsdiensten.

Zweedse overheid start onderzoek

De Zweedse minister van Civiele Bescherming, Carl-Oskar Bohlin, bevestigde dat er sprake is van een datalek. De overheid werkt samen met cybersecurity-organisaties zoals CERT-SE en het Nationaal Centrum voor Cyberbeveiliging om te onderzoeken wat er precies is gebeurd en wie verantwoordelijk is.

IT-beveiligingsexpert Anders Nilsson liet aan de Zweedse omroep SVT weten dat de gedeelde bestanden er op het eerste gezicht authentiek uitzien. Volgens hem lijkt de gelekte data broncode van meerdere programma’s te bevatten.

Mogelijke campagne gericht op Europese infrastructuur

Volgens het platform voor dreigingsinformatie Threat Landscape kan het incident onderdeel zijn van een bredere aanvalscampagne. Cybercriminelen zouden zich steeds vaker richten op publiek toegankelijke digitale infrastructuur in Zweden en andere Europese landen.

Het platform stelt dat ByteToBreach mogelijk ook verantwoordelijk is voor een datalek bij rederij Viking Line, dat een dag eerder werd gemeld. Dat kan erop wijzen dat dezelfde dader meerdere organisaties in korte tijd heeft aangevallen.

Risico’s door gelekte broncode

De hacker beweert dat de volledige broncode van het e-overheidsplatform online is gepubliceerd en heeft voorbeelden gedeeld als bewijs. De volledige inhoud van de datadump is echter nog niet onafhankelijk geverifieerd.

Cybersecurityonderzoekers waarschuwen dat het lek alsnog risico’s kan opleveren. Wanneer broncode of technische documentatie openbaar wordt, kunnen aanvallers die informatie gebruiken om kwetsbaarheden in systemen te identificeren en mogelijk misbruik te maken van digitale diensten.