En hotaktör som kallar sig ByteToBreach påstår sig ha stulit hela källkoden till Sveriges e-förvaltningsplattform efter att ha brutit sig in i CGI Sverige ABs infrastruktur. Läckan publicerades den 12 mars och innehåller kod för system som miljontals svenskar använder dagligen, inklusive BankID-kopplad autentisering och Skatteverkets tjänster.

Vad läcktes?

Enligt analyser av läckan kommer koden från ett internt GitLab-system hos CGI Sverige. Det exponerade materialet inkluderar källkod för Mina Engagemang (medborgarportalen), Signe (e-signaturtjänsten) och Företrädarregistret, systemet som styr juridisk representation för organisationer.

Utöver källkoden innehåller läckan databaslösenord, SMTP-uppgifter, keystore-filer och inbäddade Git-credentials. Den typen av autentiseringsmaterial möjliggör lateral rörelse genom sammankopplade system. Svenska IT-säkerhetsexperten Anders Nilsson bekräftade för SVT att intrånget ser genuint ut.

Varför är det här allvarligt?

96 procent av Sveriges 10,7 miljoner invånare använde e-förvaltningstjänster under 2025. När källkoden till dessa system läcker ut vet angripare exakt var svagheterna finns, innan patchar hinner rullas ut. Medborgarnas personuppgifter och elektroniska signaturdokument säljs separat av hotaktören, medan källkoden gjorts tillgänglig gratis på öppna forum.

Vad bör ditt företag göra nu?

Om ditt företag använder BankID-autentisering, integrerar mot Skatteverket eller nyttjar CGI-levererade tjänster bör du agera nu: granska tredjepartsintegrationer, rotera API-nycklar och credentials, och bevaka om CGI Sverige kommunicerar om påverkade system. Intrång i leverantörskedjor är en av de snabbast växande attackvektorerna mot svenska företag.

Osäker på om ditt företag är exponerat? Kontakta oss på BlckIT för en genomgång av era tredjepartsrisker.