Stulna cookies på dark web – ökning från 54 till 94 miljarder på ett år

NordVPN, den 27 maj, 2025 – Ständiga notiser om samtycke till cookies, på svenska kallade kakor, har gjort dem till en naturlig del av vardagen. De ser till att användare förblir inloggade och sparar annan information, som en kundvagn, till nästa gång de besöker samma webbplats. Därför ses kakor av ofta som något som förbättrar användarupplevelsen, men många känner inte till att de kan nyttjas av illasinnade för att stjäla personliga data och ge tillgång till annars säkra system.

”Kakor kan verka harmlösa, men i fel händer blir de digitala nycklar till våra digitala privata liv. Det som en gång designades som för att vara en bekvämlighet blir för varje år som går en allt större sårbarhet, som nyttjas av cyberbrottslingar världen över,” säger Adrianus Warmenhoven, cybersäkerhetsexpert på NordVPN.

För andra året i rad har NordVPN gjort en studie om hur många kakor som läckt ut på dark web och antalet har ökat betydligt sedan år 2024 – från 54 till 94 miljarder totalt globalt. På den mindre ärorika topplistan rankar Sverige bland 253 undersökta länder på plats 66, med över 208 miljoner kakor funna på dark web som går att koppla direkt till svenska användare.

Utan kakor skulle den moderna webben vara betydligt mindre användarvänlig. Men i takt med att det digitala utvecklats gör även missbruket det. Cyberkriminella har lärt sig hur de samlar in kakor, vilket gör att de kan kapa sessioner, inloggningar och kringgå säkerhetsåtgärder.

Miljontals svenska personuppgifter blottade
De 94 miljarder kakor som enligt NordVPN:s studie samlats in motsvarar en ökning om 74 procent på ett år. Än mer oroande är att 20,55 procent av dessa kakor fortfarande är aktiva och kan brukas av illasinnade aktörer. Den tjänst som flest kakor kommer från är Google med 4,5 miljarder stycken, följt av Youtube med 1,33 miljarder samt Microsoft och Bing med över 1 miljard vardera.

Hos Sverige som låg på plats 66 med 208 miljoner kakor var ”endast” 8,7 procent aktiva. En till synes låg siffra, men det motsvarar ändå 18 miljoner kakor som går att koppla direkt till användaraktivitet.

”De flesta förstår inte att en stulen kaka i värsta fall kan vara lika farlig som ett läckt lösenord. När en kaka väl fångats upp kan en hackare potentiellt få direkt tillgång till konton och känslig information – utan att faktiskt behöva logga in,” fortsätter Warmenhoven.

I de kakor som hamnat på vift har NordVPN identifierat miljarder och åter miljarder uppgifter av olika slag, från människors fullständiga namn och fysiska adresser till e-postadresser och rentav lösenord. Alltsammans kritiska uppgifter som kan användas för obehörig åtkomst till kontot, bedrägerier och i värsta fall identitetsstölder.

Skadlig kod som en tjänst
Uppgifterna som hittats på dark web har samlats in genom 38 olika typer av skadlig kod, malware, vilket är en betydande ökning från 12 förra året. Dessa används inte nödvändigtvis av tekniskt väl bevandrade ”hackare”, utan kan bäst beskrivas som malware-as-a-service, det vill säga en tjänst man betalar där till och med support från utvecklarna bakom finns tillgänglig. Precis på samma sätt som hur användare prenumererar på legitima mjukvarutjänster.

Det mest populära är fortsatt Redline, ett kraftfullt verktyg som kan extrahera exempelvis lösenord, kakor och autofyll-data från webbläsare, som samlat in 41,6 miljarder. På andra plats står Vidar med 10 miljarder och det är en liknande tjänst, men som även kan ladda ned ytterligare malware och möjliggöra för mer avancerade attacker. På tredje plats är LummaC2 med 9 miljarder och det är en tjänst som är särskilt svår att upptäcka, då den frekvent uppdateras för att undvika antivirusprogram.

Hur man skyddar sig från cookie-stölderna
Det finns ingen magisk ”kakburk” som håller dem inlåsta. Adrianus Warmenhoven tipsar istället om sex åtgärder användare själva kan vidta för att skydda sig själva på internet.

• Använda kraftfulla lösenord. En av de viktigaste åtgärderna är att använda starka och unika lösenord för varje tjänst. Komplettera om möjligt med tvåstegsautentisering (MFA).
• Tänk på informationen som delas. Användare bör fundera ett varv extra vad de delar med sig av när en webbplats ber om personlig information.
• Var vaksam på webbplatser. Undvik att klicka på misstänkta länkar och ladda inte ned filer från annat håll än trovärdiga företags officiella webbplatser.
• Rensa historik och webbplatsdata. Ha som vana att regelbundet rensa webbhistorik, cookies och annan webbplatsdata. Det minskar riskerna av och vid cookie-stöld.
• Kontrollera sekretessinställningar. Många tjänsterna låter användare göra aktiva val om vilken data de vill dela. Kontrollera regelbundet i inställningar om det skett några förändringar i hur webbplatsen väljer att använda den data som delas.
• Håll enheten uppdaterad. Enhetsuppdateringar innehåller i regel fixar på säkerhetshål som upptäckts. Det här är därför en av de allra viktigaste åtgärderna en användare kan vidta.

_{Metodik
Uppgifterna analyserades av NordStellar, en plattform för hantering av hot och exponering. Undersökningen genomfördes mellan den 23 och 30 april. Forskarna använde data som samlats in från Telegram-kanaler där hackare annonserar vilken stulen information som är tillgänglig för försäljning. Detta ledde till ett dataset med information från 93,76 miljarder cookies. Forskarna analyserade om kakorna var aktiva eller inaktiva, vilken skadlig kod som användes för att stjäla kakorna, vilket land de kom från, samt vilka uppgifter de innehöll om företaget som skapade kakan, användarens operativsystem och sökordskategorier som tilldelats användare. NordStellar köpte inte stulna cookies och kom inte åt innehållet i cookies, utan undersökte endast vilka typer av data som fanns i dem.}