I december 2024 drabbades Eurail, företaget bakom det populära Interrail-tågkortet, av ett dataintrång som exponerade personuppgifter för 308 777 resenärer, enligt en anmälan till Oregon Department of Justice. De stulna uppgifterna omfattar namn, e-postadresser, passnummer och andra personliga detaljer, rapporterade flera medier. Eurail uppger att man har säkrat sina system och samarbetar med cybersäkerhetsspecialister för att utreda incidenten. Ett urval av den stulna datamängden kopierades till Telegram, enligt åtta mediekällor. Kunder som köpt kort via DiscoverEU-programmet har visuella kopior av sina pass lagrade, medan direktkunder inte har det, tillade rapporterna.
Separat hävdar en hotaktör som kallar sig ByteToBreach att man publicerat känslig information från CGI Sverige AB, det svenska dotterbolaget till den globala IT-tjänstefirman CGI Group, på dark web. De läckta uppgifterna omfattar källkod, lösenord och krypteringsnycklar, enligt fyra mediekällor. CGI Sverige hanterar kritisk digital infrastruktur för den svenska regeringen, inklusive system som används av Skatteverket för BankID-inloggning, rapporterade fem medier. ByteToBreach publicerade det läckta materialet den 12 mars på flera öppna webbforum och fildelningsplattformar, enligt forskning från outlet. De läckta arkiven verkar härröra från en intern CGI GitLab-instans, rapporterade International Cyber Digest. Den exponerade koden omfattar centrala statliga plattformar: Mina Engagemang-medborgartjänster, Signe-elektronisk signaturportal och Företrädarregister-auktorisationssystem, enligt samma outlet. Läckan innehåller även databaslösenord, SMTP-uppgifter, nyckellagerfiler och inbäddade Git-uppgifter, tillade outlet.
Källkod för flera program verkar finnas, och såvitt jag kan se ser hacket äkta ut.
CGI uppgav att intrånget endast omfattade två interna testservrar och att inga produktionsmiljöer påverkades. Dagens Nyheter (DN) rapporterade dock att dess granskning av de läckta filerna tyder på att vissa kan härröra från produktionsservrar, inte bara testservrar. Om produktionsservrar äventyrades kan effekten på svenska e-förvaltningstjänster och medborgardata vara långt allvarligare än CGI medger. Myndigheten för civilt försvar (MCF) stängde sina e-tjänster som en direkt följd av CGI-läckan, bekräftade myndigheten. Cirka 96 procent av Sveriges 10,7 miljoner invånare använde e-förvaltningstjänster 2025, enligt Eurostat-data.
ByteToBreach är en relativt ny hotaktör som dök upp runt sommaren 2025 och är kommersiellt motiverad, enligt cybersäkerhetsexperten Marcus Murray. Gruppen attackerade tidigare Viking Line, rapporterade två medier. ByteToBreach dokumenterade sin attackmetodik i läckan och beskrev hur de uppnådde full kompromettering av CGI Sveriges infrastruktur via en Jenkins CI/CD-server, enligt gruppens eget uttalande. Attackkedjan innefattade att utnyttja Jenkins-felkonfigurationer, fly från Docker-behållaren till värden, pivotera via SSH-privata nycklar, extrahera uppgifter från Java heap dump-filer och utföra OS-kommandon via SQL copy-to-program-pivoter, hävdade ByteToBreach. Detta är samma aktör bakom Viking Line-intrånget som publicerades en dag tidigare, vilket tyder på en aktiv kampanj mot svensk infrastruktur via CGI:s managed services-fotavtryck, uppgav gruppen.
Denna kompromettering tillhör tydligt CGI:s infrastruktur.
En annan hotaktör, Shiny Hunters, hävdar att man fått tag på 350 GB data från samma intrång, enligt gruppen. Relationen mellan ByteToBreach och Shiny Hunters är oklar; det är okänt om de är samma grupp eller separata enheter. ByteToBreach har gjort källkoden tillgänglig gratis medan man säljer medborgardatabaser och elektroniska signeringsdokument separat, uppgav gruppen. Den fulla omfattningen av CGI-intrånget är fortfarande okänd, inklusive om produktionsservrar faktiskt påverkades och vilka specifika data som har nåtts eller använts skadligt. Svenska myndigheter har ännu inte meddelat specifika åtgärder som svar på CGI-intrånget. ByteToBreach uppgav på sociala medier att komprometteringen tydligt tillhör CGI:s infrastruktur. Enligt ebuildersecurity.com beskrev den svenska IT-säkerhetsexperten Anders Nilsson hacket som äkta baserat på den synliga källkoden.