mobile-menu-icon

Sveriges e-förvaltning läckt efter ByteToBreach-intrång hos CGI Sverige

Blog Reading Time 4 Lästid
/
mars 13, 2026
/
Av: Dalia Nasser
Sweden’s E-Government Source Code Leaked After ByteToBreach Breaches CGI Sverige

En hotaktör som kallar sig ByteToBreach hävdar att de har läckt den kompletta källkoden för Sveriges e-förvaltningsplattform efter att ha komprometterat CGI Sverige AB:s infrastruktur. Läckan innehåller fullständig källkod för kritiska myndighetstjänster, API-dokumentation, signeringssystem och inbäddade autentiseringsuppgifter som kan möjliggöra ytterligare angrepp mot Sveriges digitala förvaltningsekosystem.

ByteToBreach publicerade det läckta materialet den 12 mars på flera dark web-forum och fildelningsplattformar, enligt Threat Landscape och Dark Web Informer. CGI Sverige AB är det svenska dotterbolaget till CGI Group, ett globalt IT-tjänsteföretag som hanterar kritisk digital infrastruktur för svenska myndigheter. Aktören har gjort källkoden tillgänglig gratis medan medborgardatabaser och elektroniska signeringsdokument säljs separat.

Läckan exponerar Sveriges digitala förvaltningsarkitektur

Cirka 96 % av Sveriges 10,7 miljoner invånare använde e-förvaltningstjänster år 2025, enligt Eurostat.

Oberoende analys av International Cyber Digest bekräftar att de läckta repositorierna kommer från en intern CGI GitLab-instans. Den exponerade koden inkluderar centrala förvaltningsplattformar som miljontals svenskar interagerar med dagligen: medborgarservicen Mina Engagemang, den elektroniska signaturportalen Signe och auktoriseringssystemet Företrädarregister som styr juridisk representation för organisationer.

Läckan innehåller även databaslösenord, SMTP-autentiseringsuppgifter, keystore-filer och inbäddade Git-autentiseringsuppgifter — exakt den typ av autentiseringsmaterial som möjliggör lateral rörelse genom anslutna system. Svenska IT-säkerhetsexperten Anders Nilsson sa till SVT att ”källkod för flera program verkar finnas, och från vad jag kan se ser hacket äkta ut.”

Den bedömningen är viktig eftersom exponering av källkod skapar vad säkerhetsforskare kallar en ”detaljerad färdplan för framtida angrepp.” Varje API-endpoint, autentiseringsmekanism och integrationspunkt är nu synlig för alla med tillgång till det läckta materialet.

ByteToBreach komprometterade Jenkins och flydde till Docker

ByteToBreach dokumenterade sin angreppsmetodik i läckreleasen och beskrev hur de uppnådde fullständig kompromiss av CGI Sveriges infrastruktur genom en Jenkins CI/CD-server. Angreppskedjan involverade att exploatera Jenkins-felkonfigurationer, fly från Docker-containern till värddatorn via Jenkins-användarens Docker-gruppmedlemskap, pivotera genom SSH-privata nycklar och extrahera autentiseringsuppgifter från Java heap dump-filer och köra OS-kommandon via SQL copy-to-program-pivoteringar.

Detta är samma aktör bakom Viking Line-intrånget som publicerades en dag tidigare, vilket tyder på en aktiv kampanj mot svensk infrastruktur via CGI:s managed services-fotavtryck. ByteToBreach avvisade uttryckligen den vanliga ”tredjepartsintrånga”-inramningen och angav i sin release att ”denna kompromiss tillhör tydligt CGI:s infrastruktur.”

CGI uppgav i ett uppdaterat uttalande den 17 mars 2026 att incidenten påverkade ett begränsat antal interna testservrar i Sverige som inte var i produktion. Företaget uppgav att det inte finns några indikationer på att produktionsmiljöer, produktionsdata eller operativa tjänster har påverkats. Berörda kunder har informerats.

Aktörens val att göra källkoden fritt tillgänglig medan medborgardata säljs separat indikerar att deras primära motivation kan vara att orsaka maximal störning av Sveriges digitala förvaltning snarare än rent ekonomisk vinning. Det strategiska valet gör intrånget farligare — källkod i det vilda möjliggör för andra threat actors att utveckla sina egna exploits.

Vad svenska organisationer måste göra nu

Alla svenska organisationer som integrerar med myndigheters e-tjänster bör omedelbart granska dessa API-anslutningar och rotera alla autentiseringsuppgifter som används i myndighetsnära system. Den läckta källkoden innehåller tillräckligt med arkitektoniska detaljer för att möjliggöra riktade angrepp mot organisationer som förlitar sig på dessa plattformar för autentisering eller datautbyte.

Elektroniska signeringsutdata bör behandlas med förhöjd granskning i väntan på en fullständig incidentbedömning av svenska myndigheter. Signe-portalens konfigurationer och signeringsarbetsflödesmallar finns bland det exponerade materialet, vilket potentiellt komprometterar integritetverifieringsprocessen för elektroniskt signerade dokument.

Jenkins-administratörer över hela Sverige bör anta att deras CI/CD-pipelines är felkonfigurerade tills motsatsen bevisats. Angreppsmetodiken som ByteToBreach använde — Docker-gruppeskalering från Jenkins-användare — är en vanlig felkonfiguration som finns i många miljöer. Granska användarbehörigheter och containeråtkomstkontroller nu.

References

  1. CGI informs about incident related to internal test servers
  2. Sweden E-Government Source Code Leaked via CGI Sverige AB Breach
  3. Full Source Code of Sweden’s E-Government Platform Leaked From Compromised CGI Sverige Infrastructure
  4. International Cyber Digest: Sweden E-Government Source Code Analysis
  5. Data: Swedish government IT system hacked – Sweden Herald
  6. Data Breach Statistics 2025-2026 – BitSight Technologies
  7. Sweden Investigates Suspected Hack of E-Government Platform
  8. Sweden probes reported leak of e-government platform source code

This post is also available in: English

Ta nästa steg - säkra er verksamhet

Säkerställ att ert företag är skyddat mot cyberhot. Kontakta oss så berättar vi mer.

Kontakta oss