Säkerhet

Efter it-attacken – hackarna läcker personaldata från Nordic Choice Hotel

Nordic Choice bygger hotell ihop med Geely på Lindholmen. Petter Stordalen, ägare av Nordic Choice Hotels, vid Geelys nya campus Uni3 på Lindholmen där man nu bygger ett hotel i anslutning till campuset. Foto: Adam Ihse/TT
Nordic Choice bygger hotell ihop med Geely på Lindholmen. Petter Stordalen, ägare av Nordic Choice Hotels, vid Geelys nya campus Uni3 på Lindholmen där man nu bygger ett hotel i anslutning till campuset. Foto: Adam Ihse/TT
Foto: Jeppe GustafssoN/Shutterstock
Foto: Jeppe GustafssoN/Shutterstock
Efter nästan 20 år hos Internetstiftelsen väntar nya äventyr för it-säkerhetsexperten Anne-Marie Eklund Löwinder. Foto: Internetstiftelsen
Efter nästan 20 år hos Internetstiftelsen väntar nya äventyr för it-säkerhetsexperten Anne-Marie Eklund Löwinder. Foto: Internetstiftelsen
Foto: Jessica Gow/TT
Foto: Jessica Gow/TT

Personnummer, bankkonton, lönebesked och scheman för Nordic Choice Hotels anställda ligger ute på nätet. ”Det är allvarligt”, säger säkerhetsexperten Anne Marie Eklund Löwinder.

Publicerad

Natten till den andra december utsattes Petter Stordalens hotellkedja Nordic Choice Hotels för en ransomwareattack som skakade verksamheten. Bokningssystem, incheckning och betallösning slogs ut på bolagets cirka 200 hotell runt om i Norden och Baltikum.  

Men hackergruppen nöjde sig inte med att lamslå verksamheten. De har också stulit stora mängder data från hotellkedjans interna system, kan Ny Teknik bekräfta.  

Under förra veckan publicerade hackarna bakom angreppet en stor samling data från hotellkoncernens interna system på en sajt på dark web.  

Det rör sig åtskilliga gigabyte data och tusentals filer som Ny Teknik har tagit del av. Hackergruppen uppger att de har släppt 20 procent av filerna de har stulit publikt.  

En del av läckan består av filer från Nordic Choice Hotels svenska lönesystem. Där finns känslig information om både nuvarande och tidigare anställda vid ett 60-tal svenska hotell.  

– Vi är medvetna om läckan och den information den innehåller. Vi arbetar löpande med att kartlägga vilken information som är på avvägar och att vidta åtgärder, skriver Jonathan Blom som är kommunikationsrådgivare på hotellkedjan i ett mejl till Ny Teknik.

Berör tusentals anställda

De läckta dokumenten är daterade från åtminstone 2015 och framåt, och verkar vid en granskning vara autentiska.  

Där finns lönespecifikationer för tusentals anställda med personnummer, adressuppgifter och bankkontonummer. Det finns också listor över tjänstebilar, semesterscheman och anställningsavtal och bonusvillkor för chefer inom koncernen. Det finns dessutom en samling av kopior på högt uppsatta chefers pass, däribland svenska medborgare.  

– Den är alltid allvarligt när den här typen av personlig information läcker ut i den här omfattningen. Det går att använda i alltifrån bedrägerier till identitetsstöld, säger Anne-Marie Eklund Löwinder, tidigare säkerhetschef på Internetstiftelsen. 

Efter nästan 20 år hos Internetstiftelsen väntar nya äventyr för it-säkerhetsexperten Anne-Marie Eklund Löwinder. Foto: Internetstiftelsen
Efter nästan 20 år hos Internetstiftelsen väntar nya äventyr för it-säkerhetsexperten Anne-Marie Eklund Löwinder. Foto: Internetstiftelsen

Förutom lönesystemet ingår också mängder av interna dokument av olika slag i läckan. 

Hotell- och restaurangfacket säger att de blivit informerade om dataläckan av Nordic Choice Hotels och att de ser allvarligt på situationen. 

– Det är inget snack om att det är oerhört allvarligt, och vi förväntar oss att företaget gör vad de kan för att minimera risken att det ska spridas vidare och se till att det inte kan hända igen, säger Per Persson som är avtalssekreterare på HRF.

Foto: Jeppe GustafssoN/Shutterstock
Foto: Jeppe GustafssoN/Shutterstock

Nordic Choice Hotels uppger att de gjort en anmälan till Norska Datatillsynet, motsvarigheten till Integritetsskyddmyndigheten. Bolaget säger att de i nuläget inte har några indikationer på att hackarna ska ha kommit åt någon data om hotellkedjans kunder.  

Både nuvarande och tidigare personal ska ha informerats om att hackarna ska ha kommit över deras personuppgifter. 

Vanligt med ransomware och datastöld

Kombinationen av ransomware och datastöld är vanlig, menar David Jacoby på it-säkerhetsföretaget Kaspersky.  

– Ransomware handlar inte bara om att man kapar systemen och begär pengar för att låsa upp dem, många stjäl data också och lägger ut den till salu, säger han till Ny Teknik.  

Samtidigt som läckan uppdagas rapporterar den norska it-sajten Digi.no att Nordic Choice Hotels valde att permittera både sin it-säkerhetschef och sin personuppgiftsansvarige under den första coronavågen förra året, och att dessa sedan aldrig fick återinträda i tjänst.  

De valde båda att söka nya jobb när de inte fick återvända till jobbet, och arbetsuppgifterna tilldelades andra anställda inom koncernen.