Våren 2008 tog sig någon in på Sprays servrar och skapade en bakdörr. Via den kunde vem som helst söka upp ett Spraykonto och få fram lösenordet. En miljon konton kunde avslöjas via bakdörren. Tack vare att Spray upptäckte och stängde luckan kunde skadan begränsas.

Att tala öppet om vad som hade hänt var inget lätt beslut.

– Instinktivt vill man inte fronta att känslig information har läckt ut. Man vill kontrollera situationen men det går inte. Lösenord fanns redan ute på Flashback. Det gjorde att vi valde att vara öppna, säger Fredrik Pallin.

Några år efter intrånget är han nöjd med att Spray körde med öppna kort inför kunder och medier. Men det kan finnas goda skäl att inte släppa all information om ett intrång direkt, säger han.

– Man vill inte oroa någon i onödan. Även om det kan låta hemskt att lösenord har kommit på vift riskerar man att skapa panik i onödan. Det kan finnas både affärsmässiga och taktiska faktorer bakom att man inte vill gå ut med vad som har hänt.

Fakta

Rejäla straff kan vänta företag som mörkar ett dataintrång där kunders information kommit på villovägar.

  • De nya reglerna blir sannolikt en del av personuppgiftslagen. Därmed får Datainspektionen ansvar för att bevaka överträdelser.
  • Straffsatserna kan komma att förändras, men en titt på hur lagen ser ut i dag ger en fingervisning om vilka straff som kan komma på tal. Överträdelser kan i dag ge böter eller fängelse i upp till sex månader.
  • Om brottet är grovt gäller fängelse i upp till två år.
  • Datainspektionen kan också utfärda vite. I våras hotades ett kreditupplysningsföretag med vite på en miljon kronor. Då handlade anklagelserna om att företaget inte skickade ut information till dem vars kredituppgifter lämnades ut.
  • Även skadestånd kan bli aktuellt. Lagen säger att företag som har hand om personuppgifter på ett olagligt sätt ska ersätta de registrerade för skada.
  • I dag reglerar personuppgiftslagen i första hand hur personuppgifter registreras, hanteras och publiceras.
  • Det nya dataskyddsdirektivet ska först tröskas genom EU-byråkratin. Först där-efter ska det införas i svensk lag.
  • Processen väntas ta lång tid, sannolikt flera år.