Mellan den 31 januari och den 5 februari 2024 utsattes Snusbolagets servrar för ett dataintrång från en IP-adress i Södertälje. Gärningspersonen lyckades ladda ner 47 000 kunduppgifter.
Snusbolaget är en del av Haypp Group, ett börsnoterat bolag som driver totalt tre webbplatser för försäljning av tobak.
Den 6 februari upptäcktes internt på Snusbolaget att någon genomfört cirka 250 000 slagningar mot bolagets system under några få dagar. Slagningarna var inriktade på att hämta orderinformation som innehåller personuppgifter.
Den 8 februari gjorde bolaget en anmälan till Integritetsskyddsmyndigheten (IMY) i enlighet med GDPR och dataskyddsreglerna. Dagen därpå, den 9 februari, gjordes även en polisanmälan.
Försäljning av aktier
Den 16 februari 2024 säljer Markus Lindblad, bolagets Head of Legal and External Affairs, nästan hela sitt aktieinnehav. Samma dag rapporterar Dagens Industri om försäljningen. Vid tillfället ägde Lindblad 95 000 aktier, och försäljningspriset var 61,60 kronor per aktie, vilket gav ett totalt värde på 5 852 000 kronor. Affären registrerades även på Finansinspektionens lista över insynshandel.
Tio dagar senare, den 27 februari 2024, säljer även vice vd sina aktier. Dagens Industri rapporterar om affären med rubriken: ”Ännu en toppchef dumpar aktier i Haypp”. Vice vd:n sålde sitt innehav om 48 000 aktier till priset 63,50 kronor per aktie, vilket motsvarade ett totalt värde av 3 048 000 kronor.
Dagen därpå, den 28 februari 2024, säljer även vd Gavin David O’Dowd 67 000 aktier till ett sammanlagt värde av 4,3 miljoner kronor och aktien. Även denna försäljning rapporteras av Dagens Industri.
1 Mars 2024 – förhör hos polisen
Cirka tre veckor efter attacken, den 1 mars 2024, förhörs Markus Lindblad, Head of Legal på moderbolaget Haypp, av polisens cyberbrottsavdelning i Region Stockholm. Förhöret sker per telefon och pågår i 31 minuter, lett av förhörsledare Andreas Siegers.
Under förhöret berättar Markus Lindblad att bolaget upptäckt omkring 250 000 slagningar mot sina servrar, och att han misstänker att gärningspersonen använt ett automatiserat skript. Enligt honom har totalt cirka 50 000 ordrar med uppgifter om 20 000 unika kunder inhämtats. Personen bakom intrånget använde ett befintligt kundkonto vid attacken. Ett sådant konto skapas genom inloggning med BankID, i detta fall via Klarna.
Snusbolaget har, enligt Markus Lindblad, kontaktat Klarna för att få tillgång till loggar.
Markus Lindblad berättar också att man inte ”inte kopplat in andra aktörer annat än en extern ”privacy jurist”
Markus Lindblad informerar också att ytterligare ett försök har gjorts för att komma åt information på servrarna och det gjordes en vecka efter. Försök har även gjorts på bolagets tre andra siter men inte lyckats.
27 maj 2024 – största ägaren säljer
Den 27 maj 2024 säljer ledamot Linus Liljegren som är representant av den största ägaren GR8 ventures 419 000 aktier till ett värde av 33 520 000 kronor. Detta rapporterades också i Dagens Industri.
16 juli 2024 – Incidentrapport
I mitten på juli 2024 registreras en incidentrapport från Snusbolaget med polisen. Där skriver bolaget, bland annat, om tidslinjen under den veckan som attacken skedde mot bolagets serverar då 47 000 kunduppgifter laddades ner, men också att den lucka som fanns i systemet var tilltäppt den 6 februari 16:39 i produktionsmiljön.
“We have identified an attacker abusing a vulnerability in our Ecom system to extract order data for other users. Our investigation led us to a specific order which may very well indicate the identity of the hacker. A timeline for the events and details about the specific order/transaction connected to the events is described in this document.
A report to IMY was submitted separately according to rules and regulations.”
Polisen gör en IP-sökning, där man konstaterar att IP-adressen tillhör en person som tidigare har lagt en beställning hos Snusbolaget.
13 augusti 2024 – ytterligare en försäljning
13 augusti säljer ytterligare en ledamot och aktien har ett rekordpris på 106 kronor till ett värde på nästan 2 miljoner kronor. Dagens Industri rapporterar.
Marknaden inte informerad
När försäljningarna har skett och incidentrapporten upprättats har marknaden ännu inte informerats. Det har nu gått cirka sex månader sedan intrånget.
3 september 2024
Ett mejl inkommer till Snusbolaget från den person som vid tidpunkten är misstänkt för dataintrånget. Han uttrycker upprördhet över den polisanmälan som bolaget gjort och informerar om att han har gjort en motanmälan mot Snusbolaget, samt yrkat på ersättning för inkomstbortfall och skadestånd på 50 000 kronor. Han är även kritisk till anmälan till IMY, som han anser innehåller felaktig information.
Den 5 september skickar den misstänkte ett nytt mejl till bolaget, där han beskriver hur han gått tillväga för att få ut informationen genom automatisering.
Kritiserar polisen
Under september 2024 har hackaren mejlkontakt med polisen, där han framför kritik mot att han utreds, samtidigt som han menar att det istället är Snusbolaget som borde utredas för att ha möjliggjort intrånget.
Han erbjuder sig även att arbeta som konsult åt Polismyndigheten.
”Jag är extremt analytisk och är säkert en av Sveriges bästa. Vill ni ha min hjälp så tar jag uppdrag som konsult, 1000 kr/h + moms. Kan garantera att ni skulle se betydande resultat med min hjälp. Jag jobbar redan på Plattform och överser diverse system på Trafikförvaltningen.”
Gärningsmannen
Gärningsmannen är 28 år, medborgare i Irak och Sverige, och arbetar som IT-utvecklare för olika uppdragsgivare. I förhör uppger han att han arbetar för Trafikkontoret. Enligt hans LinkedIn-profil är han sedan november 2022 verksam på Trafikförvaltningen inom Region Stockholm, via sitt eget företag som han startade samma år. Region Stockholm bekräftar att han anlitas som extern konsult. Tidigare har han varit anställd på två stora internationella IT-bolag.
I slutet av juli 2024 genomför polisen en husrannsakan hos gärningsmannen. Enligt polisens rapport blir han överraskad när polisen knackar på dörren. Vid husrannsakan hittar polisen det skript som använts vid attacken mot Snusbolagets servrar. De hittar även en CSV-fil med 47 000 rader innehållande kunduppgifter. Enligt ett stickprov rör det sig om ordernummer från Snusbolaget.
Polisen påträffar även två cannabisplantor, som tas i beslag.
Från förhör med polisen samma dag.
FL=förhörsledare
GM=gärningsman
FL: Automatisering sa du. Hur automatiserade du?
GM: Ja med en enkel skript som loopade. Inga konstigheter. Det är nå basics.
FL: Och har du en uppfattning om hur många order eller hur många kollar du gjorde?
GM: Nej jag har inte. Alltså den tuggar jag bara på. På repeat liksom.
FL: Har du någon uppfattning om hur många ordrar du fick ut?
GM: Kanske 30-40.000.
12 december 2024 – domen
Den 12 december 2024 döms mannen för dataintrång mellan 2024-01-31 – 2024-02-05 till 50 dagsböter om 450 kronor.
Domen överklagades inte och har vunnit laga kraft.
Snusbolaget har kommenterat att påståendena är felaktiga, men vill inte specifiera vad som inte är korrekt.
Christel Prinsén
redaktionschef
Källor:
Finansinspektions insynshandel
Polismyndighetsförundersökningmaterial
