ATG-kunders uppgifter läcker ut på darknet

Kunduppgifter från spelbolaget ATG har dykt upp på den kriminella delen av nätet efter ett intrång som bolaget säger sig inte ha känt till. Därmed är mer än 150 000 registrerade spelare exponerade, månader efter att uppgifterna stals.

Enligt Dagens Nyheter innehåller det läckta materialet namn, adresser och orter, och i flera tusen fall svenska personnummer. Tidningen uppger att åtminstone ett fåtal av dem som listas med personnummer har skyddade personuppgifter. I materialet finns även kundbrev, däribland sådana som innehåller tillfälliga lösenord för nya konton.

Det ovanliga är mindre omfattningen än glappet mellan vad som cirkulerat i säkerhetskretsar och vad som nått myndigheter och drabbade kunder. DN skriver att rykten om ett intrång hos ATG började spridas i början av 2026, men när tidningen kontaktade bolagets chef för it-säkerhet, Erik Täfvander, i februari sade han att ATG inte sett några bevis för att en attack lyckats och att ingen lösensumma begärts. DN uppger nu att tidningen har verifierat att dataprovet är äkta och nyligen skapat, med filer daterade till slutet av 2025.

Tidpunkten spelar roll eftersom svenska och europeiska regler kräver anmälan när ett företag blir medvetet om att personuppgifter kan ha röjts. DN rapporterar att ATG inte har anmält händelsen till Integritetsskyddsmyndigheten och inte heller kontaktat drabbade kunder, eftersom bolaget säger sig sakna bevis för att ett intrång lyckats. I praktiken skapar detta ett incitament att behandla läckor från tredje part som ”obekräftade” så länge det går: kostnaden för att agera är omedelbar och synlig, medan kostnaden för att vänta sprids ut över kunder som kanske aldrig får veta varför de senare utsätts för identitetsbedrägerier.

Läckan antyder också hur en spelplattform kan bli ett underrättelsemål på sätt som inte fångas av den vanliga diskussionen om betalkort. DN noterar att de publicerade filerna innehåller återbetalningskrav mot mer än 2 600 namngivna personer, på sammanlagt tiotals miljoner kronor, och att kundlistan omfattar offentliga personer som diplomater och Sverigedemokraternas partiledare Jimmie Åkesson. Även utan hemliga adresser är en datamängd som kombinerar identitetsuppgifter, kontokorrespondens och spelrelaterade tvister ett färdigt underlag för utpressning, riktade nätfiskeförsök och social manipulation.

DN tillskriver intrånget en grupp som kallar sig Coinbase Cartel, beskriven som en nyare kriminell sammanslutning inriktad på datastöld och utpressning. Gruppen har ingen koppling till kryptovalutaföretaget Coinbase, men namnet följer ett mönster där angripare lånar varumärkeskännedom samtidigt som de använder läcksajter som gör det enkelt att kopiera, spegla och paketera om stulna uppgifter.

Den datamängd DN granskat uppges omfatta cirka 6,5 gigabyte och beskrivs av angriparna som ett ”prov”, vilket antyder att mer kan finnas. För kunderna är den omedelbara slutsatsen enklare: ett spelkonto som skapades för att lägga ett vad kan bli en permanent post i någon annans register.