Två stora dataintrång har samtidigt drabbat europeisk tågtrafik och svensk myndighetsinfrastruktur, vilket exponerat miljontals poster och känslig källkod. Eurail/Interrail-intrånget påverkade över 300 000 resenärer, medan en separat attack mot CGI Sverige AB läckte hela källkoden för Sveriges e‑förvaltningsplattform.
Eurail/Interrail-intrånget, som först tillkännagavs i december 2025 eller januari 2026, exponerade personuppgifter för över 300 000 resenärer, enligt flera medierapporter. Stulna data säljs på dark web, och ett urval av datamängden har publicerats på Telegram, enligt flera rapporter. Den exponerade informationen omfattar namn, e‑postadresser, passnummer, kontaktuppgifter, bankkontoreferenser och hälsodata, enligt flera rapporter. Eurail uppger att de inte lagrar bank- eller kreditkortsinformation, inte heller visuella kopior av pass för direktkunder. Däremot hade deltagare i DiscoverEU-programmet visuella kopior av pass lagrade, enligt flera rapporter.
Vissa kunder begär ersättning för kostnader för passersättning.
Eurail rapporterade till Oregon Department of Justice att 308 777 resenärer påverkades, enligt flera rapporter. Företaget har säkrat sina system och samarbetar med cybersäkerhetsspecialister, och rekommenderar kunder att vara vaksamma på nätfiskeförsök och uppdatera lösenord, enligt flera rapporter. Vissa kunder begär ersättning för kostnader för passersättning, enligt drabbade kunder som talat med Metro - Main. Home Office uppger att passinnehavare själva bör avgöra om de ska byta ut pass efter ett dataintrång.
I en separat incident hävdar en hotaktör som kallar sig ByteToBreach att ha publicerat känslig information från CGI Sverige AB på dark web, enligt Threat Landscape och Dark Web Informer. Enligt ByteToBreach omfattar läckan hela källkoden för kritiska myndighetstjänster, API-dokumentation, signeringssystem och inbäddade inloggningsuppgifter. Aktören har gjort källkoden tillgänglig gratis medan medborgardatabaser och elektroniska signeringsdokument säljs separat, enligt ByteToBreach. ByteToBreach publicerade det läckta materialet den 12 mars på flera öppna webbforum och fildelningsplattformar, enligt Threat Landscape och Dark Web Informer.
Källkod för flera program verkar finnas, och såvitt jag kan se ser hacket äkta ut.
CGI Sverige AB är det svenska dotterbolaget till CGI Group, ett globalt IT-tjänsteföretag som hanterar kritisk digital infrastruktur för svenska myndigheter, enligt flera rapporter. Den läckta datan omfattar källkod, lösenord och krypteringsnycklar, enligt flera medierapporter. Den exponerade koden inkluderar centrala myndighetsplattformar: Mina Engagemang (medborgartjänster), Signe (elektronisk signeringsportal) och Företrädarregistret (auktorisationssystem), enligt International Cyber Digest. Läckan innehåller även databaslösenord, SMTP-inloggningsuppgifter, nyckelfiler och inbäddade Git-inloggningsuppgifter, enligt ByteToBreach. Systemet används av svenska myndigheter, bland annat Skatteverket för Bank-ID-inloggning, enligt flera rapporter.
CGI uppger att intrånget rörde två interna testservrar och att inga produktionsmiljöer påverkats, enligt flera rapporter. Dagens Nyheters granskning tyder dock på att vissa läckta filer kan komma från produktionsservrar, specifikt relaterade till MCF:s e‑tjänster, enligt flera rapporter. Myndigheten för civilt försvar (MCF) stängde sina e‑tjänster som en direkt följd av CGI-läckan, enligt flera rapporter. Intrånget upptäcktes den 12 mars 2026, enligt CGI. ByteToBreach dokumenterade sin attackmetodik i läckan och beskrev hur de uppnådde full kompromettering av CGI Sveriges infrastruktur via en Jenkins CI/CD-server, enligt ByteToBreach. Attackkedjan innefattade att utnyttja Jenkins-felkonfigurationer, fly från Docker-containern till värden via Jenkins-användarens Docker-gruppmedlemskap, pivotera via SSH-privata nycklar, extrahera inloggningsuppgifter från Java heap dump-filer och exekvera OS-kommandon via SQL copy-to-program-pivoter, enligt ByteToBreach.
Denna kompromettering tillhör tydligt CGI:s infrastruktur.
ByteToBreach är en relativt ny hotaktör, kommersiellt motiverad och inte statsstödd, enligt cybersäkerhetsexperterna André Catry och Marcus Murray. Det är samma aktör som låg bakom Viking Line-intrånget som publicerades en dag tidigare, vilket tyder på en aktiv kampanj mot svensk infrastruktur via CGI:s managed services-fotavtryck, enligt flera rapporter. ByteToBreach har tidigare läckt data från Viking Line, enligt flera rapporter. Enligt ebuildersecurity.com beskrev den svenska IT-säkerhetsexperten Anders Nilsson hacket som äkta och noterade att källkod för flera program verkar finnas.
Den fulla omfattningen av produktionsdata som komprometterats i CGI-intrånget är fortfarande okänd. Det är oklart om några svenska myndighetssystem eller medborgardata direkt påverkats av CGI-läckan. Antalet individer som påverkats av CGI-intrånget har inte bekräftats. Cirka 96 % av Sveriges 10,7 miljoner invånare använde e‑förvaltningstjänster 2025, enligt Eurostat. Shiny Hunters påstår sig ha fått tag på 350 GB data, men detta har inte verifierats. De specifika säkerhetsåtgärder som svenska myndigheter vidtar som svar på CGI-intrånget har inte detaljerats. Det finns ingen känd koppling mellan Eurail- och CGI-intrången.