Eurail a révélé une violation de données qui a révélé des informations clients, y compris des coordonnées et, dans certains cas, des données liées à la santé. La société a indiqué que l’incident avait touché une partie de ses utilisateurs et concernait des informations fournies en lien avec les achats de passes ferroviaires et les services clients associés.
Eurail fournit des laissez-passer ferroviaires utilisés par les voyageurs pour accéder aux réseaux ferroviaires de plusieurs pays européens. Les clients utilisent généralement ce service pour planifier leurs voyages, gérer les réservations et recevoir un soutien pendant les déplacements. La société a indiqué que la violation concernait des données liées à ses systèmes clients plutôt qu’aux opérateurs ferroviaires directement.
Eurail a indiqué que la brèche avait été identifiée après la détection d’une activité suspecte dans ses systèmes. L’entreprise a confirmé qu’une partie non autorisée avait accédé aux informations des clients, y compris des adresses e-mail et d’autres informations personnelles. Elle a indiqué que certains dossiers exposés contenaient également des informations liées à la santé fournies volontairement par les clients, telles que des détails destinés à soutenir des besoins de voyage ou des demandes d’hébergement.
L’entreprise a indiqué que les informations compromises ne contenaient pas les données de carte de paiement ni les identifiants de connexion. Eurail a indiqué que les systèmes liés aux paiements n’avaient pas été affectés et qu’elle n’avait pas trouvé de preuve que des informations financières aient été consultées par la fuite. L’enquête est en cours, et l’entreprise a indiqué qu’elle collaborait avec des spécialistes externes de la cybersécurité pour évaluer comment l’intrusion s’est produite et quelles données ont été affectées.
Eurail a indiqué qu’elle notifiait directement les clients concernés par email. Il a également fourni des conseils sur les mesures à suivre pour réduire les risques, notamment en étant prudent face aux messages inattendus et en surveillant les comptes pour détecter des activités inhabituelles. L’entreprise a indiqué avoir mis en place des canaux d’assistance pour aider les clients qui ont des questions sur l’implication de leurs informations.
Selon les règles européennes de protection des données, les entreprises sont tenues de signaler les violations pouvant représenter un risque pour les individus. Eurail a indiqué avoir informé les autorités concernées et coopérer avec toute enquête réglementaire. Il a également indiqué avoir revu ses contrôles de sécurité et mettre en place des mesures de protection supplémentaires après l’incident.
Cette violation a ravivé l’attention sur les risques liés au stockage d’informations personnelles sensibles, en particulier des données liées à la santé qui peuvent ne pas être essentielles à la prestation de services de base. Eurail a indiqué qu’il fournira d’autres mises à jour au fur et à mesure de la poursuite de son enquête.