De så kallade priopoängen används för att köpa resor eller varor hos SJ. Bedragarna har när de fått åtkomst till konton köpt resor som de sedan sålt vidare på sociala medier för kryptovalutan bitcoin. Omfattningen har varit begränsad och SJ har hittills identifierat 15 kunder som drabbats, säger Tobbe Lundell, presschef hos SJ.

Det är frekventa resenärer som haft ganska stora poängbelopp som utsatts.

Jag har förstått att det inte är kunder som har lite poäng som har drabbats, säger han.

1,3 miljoner

I december förra året var SJ tvunget att ta till drastiska åtgärder när det visade sig att inloggningsuppgifter till priosystemet läckt ut på nätet. Samtliga 1,3 miljoner användare behövde byta lösenord. Till viss del hör händelserna ihop, enligt Tobbe Lundell, eftersom man inte ser de nyligen upptäckta bedrägerierna som intrång utan brottslingarna har troligen idogt testat sig fram med lösenord som funnits tillgängliga på nätet.

Det har inte gått till riktigt på samma sätt den här gången men vi tror ändå precis som förra gången att bedragarna har kommit över lösenord på andra ställen och testat dem på identiteterna hos oss, säger han.

Personerna som drabbats har med stor sannolikhet haft samma lösenord hos SJ som de haft på andra sajter. Uppmaningen för att skydda sig är enkel:

Byt till ett unikt lösenord.

"Med facit i hand"

Det första bedrägeriet upptäcktes den 14 juni och de drabbade har efter det att de bytt lösenord fått tillbaka sina poäng. Händelserna är också anmälda till polisen och Datainspektionen. Även den som köpt biljetter för bitcoins kan ha gjort sig skyldig till brott, enligt SJ. Hur stora belopp bedragarna omsatt är oklart.

Nu inför SJ en tvåfaktorslösning när användare ska lösa in priopoäng som innebär att man kommer att behöva identifiera sig med bank-id.

TT: Borde ni inte haft den lösningen från början?

Med facit i hand kan man absolut tycka det, men utvecklingen går framåt både på den goda och onda sidan, säger Tobbe Lundell.