瑞典隱私保護局 (IMY) 正在調查針對 IT 系統供應商 Miljödata 的網路攻擊，該攻擊導致 150 萬人的資料外洩。這次襲擊造成了營運中斷，影響了該國多個地區的公民，包括 Halland, Gotland, Skellefteå, Kalmar, Karlstad, and Mönsterås。

這起事件影響範圍廣泛，不僅造成了服務中斷，更讓瑞典國內約 150 萬人的個人資料暴露於風險之中，為瑞典近年來最嚴重的數據洩露事件之一。由於事態影響巨大，瑞典 CERT-SE 和警方自事件披露後即刻展開調查，國家層面亦對情況進行了監控。瑞典隱私保護局 (IMY) 已將此案作為優先調查對象，因為這次洩露事件直接導致大量公民的個人資料在暗網上被公開，為調查潛在的《一般數據保護條例》（GDPR）違規行為提供了基礎。

Miljödata 是一家為瑞典約 80% 的市政當局提供 IT 系統的供應商，該公司於 8 月 25 日披露了這起事件，稱攻擊者竊取了數據，並勒索 1.5 個比特幣，否則將洩漏數據。此次洩露事件引發了人們對系統安全級別以及系統中存儲了哪些類型的個人資料的諸多疑問。

IMY 主管 Jenny Bård 表示：「Miljödata 的洩露事件意味著瑞典很大一部分人口的個人資料在暗網上發布——在許多情況下，甚至是敏感資訊。」 她進一步指出，這次洩露提出了關於系統安全級別和所存儲個人資料類型的大量問題，IMY 的主要重點是調查任何可能吸取教訓的缺陷，以減少此類事件再次發生的風險。

這起事件暴露了供應鏈攻擊的巨大風險。Miljödata 作為瑞典約八成市政當局的 IT 系統供應商，其系統一旦被攻破，影響範圍將從單一公司擴大到整個公共服務基礎設施，直接衝擊數百萬公民。這次數據外洩揭示了市政當局對第三方供應商的高度依賴性所帶來的集中化風險，並促使監管機構重新審視公共部門合作夥伴的資安標準和數據處理實踐。

儘管在 Miljödata 披露該事件時還沒有任何勒索軟體組織聲稱對此次攻擊負責，但 BleepingComputer 發現威脅組織 Datacarry 於 9 月 13 日在其暗網入口網站上發布了被盜資料。這些威脅行為者在其網站上列出了另外 12 名受害者，並提供了一個 224MB 的存檔，其中包含據稱從 Miljödata 竊取的資料。

隨著威脅組織 Datacarry 公開宣稱對此次攻擊負責，並在暗網上洩露了數據，事件的性質被確認為數據竊取與雙重勒索。據 Have I Been Pwned 數據洩露警報服務的資料顯示，這次洩露的資訊包括姓名、電子郵件地址、實體地址、電話號碼、政府身份證號碼和出生日期等，涉及約 87 萬人。IMY 已決定根據運營的關鍵性來劃分調查重點，除了 Miljödata 本身的安全措施外，還將針對受影響的哥德堡市、Älmhult 市和 Västmanland 地區等實體進行檢查，特別關注其對兒童數據、受保護身份主體和前僱員數據的處理實踐，以確保符合 GDPR 要求。

這次對核心 IT 供應商的攻擊，不僅僅是技術層面的破壞，更是對國家公共服務和公民信任的重大打擊。它突顯了對於所有為政府和關鍵基礎設施提供服務的供應商，必須實施最高標準的資安措施，並在數據處理、尤其是在涉及敏感個人資訊時，必須嚴格遵守法規。

資料來源：https://www.bleepingcomputer.com/news/security/data-breach-at-major-swedish-software-supplier-impacts-15-million/