Sats-innbrudd lekket personinformasjon

– At informasjon om enkelte ansatte og medlemmer har blitt berørt er beklagelig. Vi er lei oss for konsekvensene av denne kriminelle handlingen, sier administrerende direktør i SATS, Sondre Gravir. 

Før påske skrev kode24 at Sats henter inn sikkerhetseksperter etter en nettsikkerhets-hendelse.  

Nå har treningskjeden bekreftet at de er rammet av et datainnbrudd.

– Datainnbruddet er rapportert til alle relevante myndigheter, skriver Sats i en epost til kode24. 

– Vi tar denne situasjonen svært alvorlig, uttaler Gravir. 

E24 omtalte saken først. 

Sats henter inn sikkerhetseksperter etter IT-hendelse

Treningskjeden har oppdaget «uautorisert tilgang» til IT-miljøet sitt. Det er ikke indikasjoner på at personopplysninger er påvirket.

Fikk tilgang til filserver

– Vi arbeider målrettet med å avklare konsekvensene av datainnbruddet og begrense disse, og vi har iverksatt nødvendige tiltak for å redusere risikoen ytterligere. Vi er opptatt av å håndtere situasjonen på en ansvarlig og ryddig måte, sier Gravir. 

Han understreker at Sats' medlemssystem ikke er påvirket av datainnbruddet. Systemet lagrer personopplysninger som kredittkortinformasjon, passord og bilder.

Men – de har avdekket uautorisert tilgang til en filserver for delt lagring. 

Den inneholder hovedsaklig interne administrative dokumenter knyttet til bokføring. 

Navn og kontaktinformasjon

– En andel av dokumentene inneholder medlemsnavn, og i en del tilfeller også kontaktinformasjon. For en begrenset gruppe medlemmer inneholder dokumentene ytterligere personopplysninger, opplyser Sats. 

I tillegg tyder den pågående undersøkelsen også på at personopplysninger for en gruppe ansatte er berørt. 

– Alle berørte personer vil bli informert. 

I 2023 fikk Sats et gebyr fra Datatilsynet på 10 millioner kroner for brudd på GDPR-regler.