EU-kommissionen flaggor utanför EU-kommissionen

EU-kommissionen drabbas av dataintrång – 340 GB publiceras öppet

Ingen organisation vill att känslig data sprids fritt på nätet. Men alla kan drabbas, till och med de största aktörerna. I mars 2026 utsattes EU-kommissionen för ett omfattande cyberangrepp. Händelsen sticker ut – inte bara på grund av mängden data, utan för hur angreppet genomfördes och vilka konsekvenser det kan få långt utanför de egna systemen.

Den 24 mars upptäcktes ett intrång i den molninfrastruktur som driver publika webbplatser under europa.eu. Kort därefter publicerades ett arkiv på över 340 GB öppet på nätet. I detta fall utkrävdes ingen lösensumma utan datan släpptes direkt.

Den 2 april bekräftade CERT-EU (EU-institutionernas gemensamma cybersäkerhetsteam) att hackergruppen ShinyHunters låg bakom attacken och att materialet innehöll personuppgifter kopplade till EU-personal.

Vad innehöll EU-kommissionens dataläcka?

Enligt CERT-EU innehöll det publicerade materialet personuppgifter som namn, e-postadresser och innehåll från mejlkonversationer. Men det verkar inte ha stannat där. Säkerhetsforskare har även identifierat:

  • DKIM-signeringsnycklar
  • En komplett användarkatalog
  • AWS-konfigurationsdata
  • Filer från interna samarbetsplattformar

Det är dock viktigt att skilja på bekräftad information och spekulation. EU-kommissionen bekräftar intrånget och att data stals, men menar att interna administrativa nätverk inte påverkades. Amazon har samtidigt tydliggjort att det inte rör sig om en sårbarhet i deras molntjänst – utan att kommissionens eget konto komprometterades.

Uppgifter om att fler EU-organ skulle vara drabbade har cirkulerat, men saknar i nuläget verifiering.

Läckan kan få konsekvenser utanför Bryssel

Det kanske mest problematiska i läckan är inte mängden data, utan typen av information.

Bland det stulna materialet finns DKIM-nycklar, vilka används för att verifiera att ett mejl faktiskt kommer från rätt avsändare. I praktiken innebär det att en angripare kan skicka mejl som ser ut att komma från legitima europa.eu-adresser och därmed ta sig förbi säkerhetskontroller. Detta slår direkt mot en av de mest kritiska ytorna i dagens IT-miljö – vår tillit till e-post.

Vi har tidigare skrivit om hur phishing fungerar i praktiken, där försöker angriparen manipulera mottagaren att agera snabbt och utan eftertanke. Här ökar sårbarheten då mejlen riskerar att framstå som både tekniskt korrekta och visuellt övertygande.

Konsekvensen är att angreppet därmed inte stannar i Bryssel. Organisationer, myndigheter, leverantörer och företag som haft kontakt med EU kan nu bli måltavlor för uppföljande attacker. Välformulerade mejl, med korrekt avsändare, kan dyka upp långt efter att själva intrånget skett.

Det andra intrånget på tio veckor

Detta var inte en isolerad händelse. Redan den 30 januari 2026 drabbades EU-kommissionen av ytterligare ett intrång, denna gång i systemet för hantering av mobila enheter. Incidenten hanterades snabbt och inga enheter komprometterades, men kontaktuppgifter kan ha exponerats.

Att en organisation i EU-kommissionens storlek, med tillgång till betydande säkerhetsresurser, utsätts för två separata intrång inom tio veckor illustrerar hur effektiva välorganiserade angripare med rätt metoder kan vara. ShinyHunters kringgår inte brandväggar eller utnyttjar okända sårbarheter – de ringer upp en anställd och frågar snällt.

Tre saker att ta med sig

Den här typen av incidenter ger tydliga lärdomar – inte minst för företag som själva arbetar i molnmiljöer.

  1. Inloggningen är den svagaste länken
    SMS-koder och push-notiser kan fångas upp i realtid vid vishing. Passkeys och hårdvarunycklar fungerar annorlunda – de är bundna till rätt domän för en specifik tjänst och kan inte användas på falska sidor. Men det skyddet kan också kringgås om inte SMS som reservlösning stängs av.
  2. Människan är en del av attackytan
    Tekniken kan stoppa mycket, men inte allt. Rutiner, utbildning och tydliga interna processer är avgörande – annars kan det räcka med en trovärdig röst i telefonen för att ta sig igenom även till synes robusta system.
  3. Upptäckt i realtid är avgörande
    340 GB data lämnar inte ett system på en sekund. Att upptäcka avvikande inloggningar och ovanliga dataflöden i realtid är ofta skillnaden mellan en incident och en kris. Att logga, analysera och agera snabbt blir därmed centralt i en modern säkerhetsstrategi.

En större fråga än ett enskilt intrång

Det finns också en symbolisk dimension av denna attack som skulle kunna få helt andra typer av konsekvenser. EU-kommissionen är den institution som driver stora delar av Europas cybersäkerhetsarbete, inklusive regelverk som NIS2. När samma organisation drabbas av upprepade intrång riskerar det att påverka förtroendet – oavsett hur incidenterna hanteras i efterhand och vilka konsekvenser de får.

Attacken visar även att det inte finns några helt vattentäta system, den mänskliga faktorn kommer alltid med viss risk. Men med rätt åtgärder kan riskerna minimeras.

Publicerad: Maj 6, 2026 / Uppdaterad: Maj 6, 2026
John Klaar IT konsult i Malmö

Vill du veta hur er organisation ser ut utifrån?

Det är lätt att tänka att det inte skulle kunna hända oss, men det är svårt att se sina egna svagheter – särskilt i komplexa IT-miljöer där identiteter, molntjänster och åtkomst hänger ihop.

Vi hjälper företag att kartlägga sin exponering, identifiera risker och implementera rätt skydd – utan att ni behöver bygga upp en intern säkerhetsfunktion från grunden.

Hör av er, så tar vi ett samtal.

Ring: +46-10-88 99 114E-post: john.klaar@cynaps.se

Nyhetsbrev med personliga perspektiv på IT

  • Läsvärt om den digitala arenan
  • Det du borde vilja veta om IT
  • Vi hjälper dig navigera det senaste inom IT

Fler artiklar