TT-Inrikes

SJ-system hackat - samtliga lösenord byts

TT-Inrikes Artikeln publicerades

SJ har utsatts för ett bedrägeri och inloggningsuppgifter har läckt ut. Kunder har även fått sina så kallade priopoäng stulna. Nu måste samtliga 1,3 miljoner användare byta lösenord.(TT)

– Vi tar det här på stort allvar, att vidta sådana här åtgärder är inget som man gör lättvindigt, säger Jan Sjölund, säkerhetschef på SJ.

Bedrägeriet skedde redan för mer än tre veckor sedan, mellan 18 och 20 november. Först under onsdagen gick företaget ut med att intrånget skett.

SJ har identifierat ett 60-tal kunder som drabbats och förlorat priopoäng. Poängen tjänas in på resor och kan sedan användas för att köpa resor eller varor hos företaget. Kunderna har kompenserats med de poäng de har förlorat, enligt SJ.

Tjänster stängs

– Vad vi har kunnat se så här långt, så är det med största sannolikhet medlemmar som använt samma lösenord på andra sajter som drabbats. Lösenorden har läckt ut och då har de här bedragarna kunnat använda lösenorden för att komma in på vår sajt, säger Jan Sjölund.

Lösenorden har inte läckt från SJ, enligt säkerhetschefen.

Efter intrånget tvingas samtliga 1,3 miljoner som har ett priokonto hos tågbolaget att byta lösenord. Alla lösenord har inaktiverats och företaget skickar i dagarna ut mejl där de ber användare att välja ett nytt. Företaget har också stängt sin poängshop för flera varor och tjänster.

– Det är tjänster där du har varor som är mer omsättningsbara än andra, säger Jan Sjölund och tillägger att köp av resor med priopoäng är fortsatt öppet.

När varutjänsten kan öppna igen är oklart.

Han vill inte gå in på hur stora belopp som försvunnit eller hur poängen har använts av bedragarna, med hänvisning till att SJ har polisanmält händelsen och att en utredning bedrivs.

"Omöjligt för oss"

Enligt SJ har inga kontokortsuppgifter läckt ut eftersom de lagras krypterat hos en extern part.

Jan Sjölund uppger att eftersom bedragarna har loggat in med riktiga inloggningsuppgifter så vet SJ inte exakt hur många kunder som har drabbats.

– Det är omöjligt för oss att se när personen har rätt lösenord. Upptäcker man att det saknas poäng och att det gjorts transaktioner som man inte känner igen så ska man höra av sig till oss, säger säkerhetschefen.

Han poängterar att SJ tar intrånget på största allvar och värnar om kundernas trygghet när de använder företagets system. Samtidigt är det svårt att skydda sig när lösenord läcker som personer använder på andra sajter, enligt Sjölund.

– Där bör man alltid tänka på som privatperson att man har ett unikt lösenord för varje sajt.