Het Zweedse softwarebedrijf SportAdmin heeft een boete gekregen wegens een groot datalek veroorzaakt door SQL-injection. Het gaat om één van de grootste datalekken in Zweden, waarbij de gegevens van ruim twee miljoen mensen werden gestolen en op internet gepubliceerd. Het ging om informatie van kinderen en jongeren, waaronder namen, contactgegeven en bsn-nummers, alsmede welke sport ze beoefenden en van welke sportclubs ze lid waren. In sommig gevallen ging het ook om gevoelige gegevens, zoals gezondheidsinformatie, en bijzondere persoonsgegevens.

SportAdmin is in Zweden een grote leverancier van software voor sportverenigingen. Begin vorig jaar wisten aanvallers door middel van SQL-injection toegang tot de systemen van de softwareleverancier te krijgen. Bij SQL-njection kan een aanvaller SQL-opdrachten op een systeem uitvoeren. Het is een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren en organisaties hun applicaties niet laten controleren.

In 2022 werd de code van de SportAdmin-website aangepast en een "speciale variabele" geïntroduceerd, aldus de Zweedse privacytoezichthouder IMY. Volgens de toezichthouder heeft SportAdmin bij het toevoegen van deze variabele nagelaten om bestaande beveiligingsmethodes voor het tegengaan van SQL-injection toe te passen. Daarnaast waren er omstandigheden waardoor het datalek erger werd. Zo had de SQL-gebruiker meer rechten dan noodzakelijk vanwege compatibiliteit met een ouder systeem. Bovendien had de Windows-gebruiker die op dat moment de SQL-serverservice uitvoerde meer rechten dan eerder bekend was. De SQL-server stond ook de uitvoering van externe programmabestanden toe, zoals PowerShell-scripts.

Naar aanleiding van het datalek deed IMY onderzoek. Daaruit blijkt volgens de toezichthouder dat de softwareleverancier zowel op technisch als organisatorisch gebied tekort schoot in het beschermen van persoonsgegevens. Zo was het bedrijf met bepaalde kwetsbaarheden in de systemen bekend en wist het dat er een vergroot risico op aanvallen was. Het bedrijf had wel aanpassingen doorgevoerd, maar die waren volgens IMY niet voldoende. Daarnaast ontbraken er procedures om tekortkomingen in bestaande beveiligingsmaatregelen op te merken en was er geen systeem om inbraken en aanvalspogingen in real-time te detecteren.

Als SportAdmin dergelijke maatregelen had doorgevoerd was de aanval mogelijk niet gelukt of de schade beperkt, zo stelt de Zweedse privacytoezichthouder. De softwareleverancier heeft door het niet adequaat beveiligen van de persoonsgegevens Artikel 32 van de AVG geschonden, aldus IMY. De toezichthouder legde het bedrijf hiervoor een boete van omgerekend 566.000 euro op.