Åtal har nu väckts mot den man som under nästan två års tid uppmärksammade polisen på att han fick polisrelaterad mejl skickad till sig. Utöver åtalet riskerar mannen ca 75 000 kr i skadestånd till Frontex, Europeiska gräns- och kustbevakningsbyrån.

Polis Bild: iStock.com/bildfokus

Allting började med att mannen drev ett hobbyprojekt för pollenprognoser. Till sitt projekt satte mannen upp en catch all-adress för att kunna ta emot all mejl som skickades till domänen, oavsett vad som står före @-tecknet. Domännamnet till pollenprognoserna var snarlikt polisen.se. Efter att projektet legat på is under en tid loggade han in på mejlen och upptäckte då ett stort antal mejl adresserade till poliser.

I augusti 2018 kontaktade mannen polisen och berättade om det inträffade. I slutet av september samma år fick han kontakt med en polis på myndigheten. Polismyndigheten lämnade då också in en GDPR-anmälan till Datainspektionen om det inträffade.

Då ingenting verkade hända skickade mannen ett nytt mejl till polisen i oktober samma år. Han tipsade då också om att det finns andra snarlika domännamn som är lediga och rekommenderar att Polismyndigheten köper dessa i syfte att förhindra liknande incidenter. Men polisen köper aldrig domänerna.

I december 2018 mejlar mannen på nytt den polis han fått kontakt med och berättar att hans inkorg på nytt har fyllts av mejl rörande polisiär verksamhet. Här finns även ett välkomstbrev till Frontex system FOSS (Frontex One Stop Shop). Mannen informerar också polisen att han klickat på länken och lyckats logga in i Frontex.

I augusti 2019 skriver mannen ett nytt mejl till polisen där han berättar att han mottagit en lång rad nya mejl innehållande känsliga uppgifter, bland annat föranmälan till en gränspassage till sjöss med uppgifter om fartyg, färdrutt, last och besättningsmän. Det finns även vittnesredogörelser, brev från räddningstjänsten, utländska myndigheter, en mobiloperatör, personbevis och en lång rad mejl från kustbevakningen. Han påpekar också att inloggningen till Frontex fortfarande fungerar och ifrågasätter varför det inte åtgärdats. Han bifogar även skärmdumpar som visar att han lyckats logga in i systemet. I samma mejl erbjuder han att låta polisen köpa det aktuella domännamnet av honom. Mannen kontaktar nu även Kustbevakningen för att uppmärksamma dem på problemet.

Två veckor senare påbörjar Frontex CyberSecurity-avdelning en utredning om dataintrång med anledning av den inloggning som mannen testade.

I februari 2020 upprättar polisen en anmälan gällande dataintrång i Frontex mot mannen. I oktober samma år inkommer Frontex med ett skadestånd mot mannen på 7 290 EUR för den arbetstid som Frontex i Polen har lagt ner på att utreda inloggningen i FOSS.

Rättegången mot mannen kommer hållas den 19 februari i år.

Uppdatering 2021-02-22: Rättegången har skjutits upp till 21 maj på grund av sjukdom.