ATG-hacket: Det vi vet om dataintrånget som drabbat 150 000 kunder

DN rapporterade att över 150 000 kunder hos ATG har fått sina personuppgifter exponerade efter ett omfattande dataintrång. Uppgifterna har publicerats på darknet av en utpressargrupp, samtidigt som bolaget initialt uppgett att man saknat bevis för att ett intrång faktiskt har ägt rum.

Det gör händelsen större än en enskild incident. Den sätter fokus på intern kontroll, incidenthantering och hur spelbolag skyddar en av sina mest centrala tillgångar: kunddata.

Stor dataläcka med både kunddata och interna uppgifter

Den läckta datamängden uppges uppgå till omkring 6,5 GB och innehåller uppgifter om över 150 000 individer. Det rör sig om namn, adresser och orter och i drygt 5 000 fall även personnummer.

Bland de drabbade finns personer med skyddade personuppgifter, vilket höjer allvaret ytterligare. Även offentliga personer förekommer, däribland Jimmie Åkesson, även om inga hemliga adresser eller motsvarande känslig information ska ha exponerats i den del som analyserats.

Utöver personuppgifter omfattar läckan även interna dokument, såsom brevutskick, kundkommunikation och i vissa fall tillfälliga lösenord för nya användare. Den innehåller dessutom återbetalningskrav kopplade till omkring 2 600 kunder, med ett samlat värde på tiotals miljoner kronor.

Kombinationen av personuppgifter och finansiell information ökar risken för vidare missbruk. Samtidigt beskrivs den publicerade datan som ett urval, vilket talar för att angriparna kan sitta på ytterligare material.

Intrånget tros ha skett under 2025

Tillgänglig information pekar på att intrånget sannolikt skedde i slutet av 2025. Samtidigt innehåller delar av materialet uppgifter som sträcker sig tillbaka till åtminstone 2021.

Det innebär att läckan omfattar både relativt färsk och äldre data. En möjlig tolkning är att angriparna har haft tillgång till systemen under en längre tid, alternativt att flera datakällor har kombinerats.

Exakt hur intrånget har gått till är fortfarande oklart. Det saknas uppgifter om vilken sårbarhet som utnyttjades eller om tillgången skedde via exempelvis komprometterade konton eller brister i interna rutiner.

Osäkerheten kring intrångets omfattning och förlopp gör det svårare att bedöma den fulla risken

Från förnekande till utredning

En central fråga i fallet är hur bolaget har kommunicerat kring händelsen.

När uppgifter om ett intrång började cirkulera i början av 2026 uppgav ATG att man saknade bevis för att någon attack lyckades.

“Vi har inte fått några bevis på att en attack har lyckats eller mottagit något krav på lösensumma”, skrev cybersäkerhetschefen Erik Täfvander då.

Efter att läckan har kunnat verifieras externt har beskedet förändrats.

“Vi utreder en läcka av personuppgifter som publicerats på darknet och som vi blivit uppmärksammade på under torsdag eftermiddag. ATG lägger stor vikt på att våra kunders uppgifter hanteras på ett tryggt sätt och ser med största allvar på detta

Han uppger vidare att händelsen kommer att polisanmälas och att en anmälan till Integritetsskyddsmyndigheten ska göras.

Att bolaget inte tidigare anmält incidenten eller informerat drabbade kunder förklaras av att man saknat kännedom om intrånget. Samtidigt väcker tidslinjen frågor om hur snabbt händelsen borde ha upptäckts och hanterats.

Utpressningsgrupp pekas ut

Bakom intrånget uppges en grupp som kallar sig Coinbase Cartel ligga. Den beskrivs som en relativt ny aktör inom cyberkriminalitet med fokus på datastöld och utpressning.

Tillvägagångssättet följer ett etablerat mönster. Först stjäls data, därefter publiceras en begränsad mängd som bevis för att sätta press på det drabbade bolaget. Syftet är att få till stånd en betalning i utbyte mot att ytterligare information inte offentliggörs.

I det här fallet är det oklart om någon direkt kontakt tagits med ATG eller om något krav framförts. Samtidigt framgår att bolaget tidigare inte har haft kännedom om intrånget.

“Vi är medvetna om att ATG tidigare varit listade på sajter som samlar olika darknet-läckor från olika hotaktörer, men har inte fått några bevis på att en attack har lyckats”

Att den publicerade datan beskrivs som ett urval talar för att mer material kan finnas. Det ligger i linje med hur utpressningsgrupper arbetar, där mindre delar av data används för att öka trycket inför en möjlig uppgörelse.

En affärskritisk fråga för ATG

För ATG handlar intrånget inte enbart om en teknisk incident. Hanteringen av kunddata är en central del av affären.

Bolaget har omkring 1,4 miljoner aktiva kunder och omsatte över 12 miljarder kronor under 2025. Verksamheten bygger på att kunder registrerar sig, identifierar sig och genomför transaktioner digitalt.

Det innebär att stora mängder personuppgifter, spelhistorik och finansiell information lagras i bolagets system. Ett intrång av den här storleken slår därför direkt mot en av verksamhetens mest centrala funktioner.

I en bransch där kundrelationen i stor utsträckning är digital blir förtroendet för hur data hanteras avgörande för verksamheten.

Kan få regulatoriska följder

Händelsen aktualiserar även en regulatorisk dimension.

Företag som hanterar personuppgifter är skyldiga att rapportera incidenter till tillsynsmyndigheter och i vissa fall även informera de drabbade. Att detta inte har skett tidigare kan komma att granskas närmare.

Integritetsskyddsmyndigheten har möjlighet att besluta om sanktionsavgifter vid brister i rapportering eller dataskydd.

Om intrånget skedde i slutet av 2025 och det i efterhand bedöms att bolaget haft möjlighet att upptäcka det tidigare, kan frågan om rapporteringstid bli central. Tidigare fall visar att just tidsaspekten ofta väger tungt i myndigheternas bedömningar.

Vad vet vi fortfarande inte?

Trots omfattande uppgifter finns flera centrala frågetecken.

Det är oklart hur intrånget har gått till, hur länge angriparna har haft tillgång till systemen och hur stor den totala datamängden är. Den publicerade datan beskrivs som ett urval, vilket antyder att ytterligare material kan finnas.

Det saknas även klarhet i om någon lösensumma begärts eller om någon dialog förekommit mellan angriparna och ATG.

Den här typen av osäkerhet är i sig en riskfaktor. Det försvårar både bolagets interna analys och kommunikationen med kunder och myndigheter.

En växande hotbild och ett test av förtroendet

Intrånget mot ATG är samtidigt en del av en bredare utveckling.

Online casinon och andra digitala konsumentplattformar har blivit allt mer attraktiva mål för cyberkriminella. Kombinationen av stora datamängder och finansiella flöden gör sektorn särskilt intressant. Metoden att först publicera ett mindre urval av data för att sätta press på den drabbade aktören är etablerad och har setts i flera uppmärksammade fall.

Händelsen framstår därmed inte som ett isolerat problem, utan som en indikation på en mer strukturell risk i sektorn.

För ATG blir nästa steg i hög grad en fråga om förtroende. Ett intrång av den här storleken behöver inte leda till ett omedelbart tapp i kundbasen, men kan påverka hur bolaget uppfattas över tid, särskilt om fler detaljer framkommer eller om ytterligare data publiceras.

Hur bolaget väljer att kommunicera och agera i det här läget blir därför avgörande.

Ett intrång som sätter ATG på prov

Dataintrånget hos ATG är i första hand en allvarlig händelse för de drabbade kunderna. Men det är också ett test av bolagets förmåga att hantera en kris som slår direkt mot kärnan i verksamheten.

Avgörande blir hur snabbt bolaget kan skapa klarhet i omfattningen, hur transparent kommunikationen är och vilka konkreta åtgärder som vidtas för att återställa kontrollen. Tidslinjen och den initiala kommunikationen gör att frågan om intern beredskap och upptäcktsförmåga redan nu står i fokus.

Samtidigt är händelsen större än ett enskilt bolag. Den illustrerar hur sårbar en datadriven affärsmodell kan vara när centrala system komprometteras, och hur snabbt en teknisk incident kan utvecklas till en förtroendefråga.

För spelmarknaden i stort är signalen tydlig. Hanteringen av kunddata är inte längre en stödfunktion utan en affärskritisk fråga. När den brister påverkas inte bara enskilda kunder, utan hela relationen mellan operatör och marknad.