Du skickar ett anonymt tips om ett brott. Du litar på att systemet skyddar din identitet. Men vad händer om den plattformen aldrig var säker från början? Det är precis vad som avslöjades när hackergruppen Internet Yiff Machine bröt sig in hos P3 Global Intel och stal 8,3 miljoner konfidentiella brottstips.

Vad som läcktes

P3 Global Intel är ett amerikanskt företag som driver en molnbaserad plattform för anonyma brottstips. Deras kunder inkluderar Crime Stoppers-program, lokala och federala brottsbekämpande myndigheter, skolor och den amerikanska militären, bland annat ICE, U.S. Air Force och U.S. Secret Service.

Den stulna datan, 93 gigabyte, innehåller 8,3 miljoner tips som sträcker sig från februari 1987 till november 2025. I materialet finns namn, e-postadresser, födelsedatum, telefonnummer, hemadresser, registreringsnummer, personnummer och brottshistorik på personer som utpekats av tipsare.

Anonymiteten var en illusion

P3 marknadsför sin tjänst med löftet att tipsarens identitet alltid förblir anonym. Men den läckta datan berättar en annan historia.

Leak-arkivet DDoSecrets, som tillsammans med Straight Arrow News granskade materialet, konstaterar att P3:s påståenden om krypterad kommunikation motsägs av att data lagrats i klartext. Dessutom avslöjar ett internt kundokument att P3 erbjuder en funktion kallad "Session Information Disclosure", som låter kunder begära ut tipsarnas IP-adresser utan deras vetskap.

"Människor rapporterade om kartellhandel och sexuella övergrepp via den här plattformen eftersom de lovats anonymitet", säger Michael Bell, grundare av Suzu Labs. "P3 lagrade deras information med okrypterade lösenord och bad diskret sina kunder om tipsmedverkarnas IP-adresser."

Hur intrånget gick till

Hackergruppen uppger att de tog sig in via social engineering mot ett kundkonto och utnyttjade en systemsårbarhet. P3:s moderbolag Navigate360, vars VD JP Guilbault bekräftat att en utredning pågår med hjälp av ett externt forensikföretag, hade tidigare påstått att deras system aldrig utsatts för intrång under 20 år.

Navigate360 uppger att inga känsliga uppgifter bekräftat har missbrukats och att systemen fortsatt är i drift.

Larmsignal for alla som hanterar känslig data

Mailyn Fidler, cybersäkerhetsforskare vid University of New Hampshire, varnar för allvaret: "Riskerna inkluderar allvarlig skada och till och med dödsfall för polisens informatörer. Givet P3:s kunder inkluderar det också risker för den nationella säkerheten."

För svenska företag och organisationer som hanterar känslig information är lärdomen tydlig: löften om anonymitet och säkerhet måste backas upp av verifierbara tekniska åtgärder. Kryptering, åtkomstkontroll och regelbundna säkerhetsrevisioner är inte valfria.

Vill du veta hur BlckIT kan hjälpa er organisation att säkra känslig data? Kontakta oss.