Eurail ha revelado una brecha de datos que expuso información de clientes, incluidos datos de contacto y, en algunos casos, datos relacionados con la salud. La empresa indicó que el incidente afectó a una parte de sus usuarios y trató sobre información presentada en relación con la compra de pases de tren y los servicios de atención al cliente relacionados.
Eurail proporciona pases de tren que los viajeros utilizan para acceder a redes ferroviarias en varios países europeos. Los clientes suelen utilizar el servicio para planificar viajes, gestionar reservas y recibir apoyo durante los viajes. La empresa afirmó que la brecha implicaba datos relacionados con los sistemas de sus clientes y no directamente a los operadores ferroviarios.
Eurail dijo que la brecha fue identificada tras detectar actividad sospechosa en sus sistemas. La empresa confirmó que una parte no autorizada accedió a información de los clientes, incluidas direcciones de correo electrónico y otros datos personales. Indicó que algunos registros expuestos también incluían información relacionada con la salud que los clientes habían proporcionado voluntariamente, como detalles destinados a cubrir necesidades de viaje o solicitudes de alojamiento.
La empresa afirmó que la información comprometida no incluía datos de tarjetas de pago ni credenciales de acceso. Eurail afirmó que los sistemas relacionados con los pagos no se vieron afectados y que no ha encontrado pruebas de que se accediera a información financiera a través de la brecha. La investigación sigue en curso y la empresa ha dicho que está trabajando con especialistas externos en ciberseguridad para evaluar cómo se produjo la intrusión y qué datos se vieron afectados.
Eurail ha dicho que está notificando directamente a los clientes afectados por correo electrónico. También ha proporcionado orientación sobre medidas que los usuarios pueden tomar para reducir riesgos, incluyendo ser cautelosos con mensajes inesperados y monitorizar cuentas para detectar actividades inusuales. La empresa ha anunciado que ha creado canales de soporte para ayudar a los clientes que tengan dudas sobre si su información estuvo implicada.
Según las normas europeas de protección de datos, las empresas están obligadas a informar de brechas que puedan suponer un riesgo para las personas. Eurail afirmó que ha notificado a las autoridades competentes y está cooperando con cualquier consulta regulatoria. También indicó que ha revisado sus controles de seguridad y está implementando salvaguardas adicionales tras el incidente.
La brecha ha renovado la atención sobre los riesgos asociados al almacenamiento de información personal sensible, especialmente datos relacionados con la salud que pueden no ser esenciales para la prestación básica de servicios. Eurail dijo que proporcionará más actualizaciones a medida que continúe su investigación.