Eurail heeft een datalek bekendgemaakt waarbij klantinformatie werd blootgesteld, waaronder contactgegevens en in sommige gevallen gezondheidsgerelateerde gegevens. Het bedrijf zei dat het incident een deel van zijn gebruikers trof en informatie betrof die was ingediend in verband met de aankoop van treinpassen en gerelateerde klantenservice.
Eurail biedt treinpassen aan die reizigers gebruiken om toegang te krijgen tot treinnetwerken in meerdere Europese landen. Klanten gebruiken de dienst doorgaans om reizen te plannen, boekingen te beheren en ondersteuning te ontvangen tijdens reizen. Het bedrijf zei dat de inbreuk gegevens betrof die verbonden waren met de systemen van de klant en niet direct bij spoorwegmaatschappijen.
Eurail zei dat de inbreuk werd geïdentificeerd nadat verdachte activiteit in zijn systemen was vastgesteld. Het bedrijf bevestigde dat een ongeautoriseerde partij toegang had gehad tot klantgegevens, waaronder e-mailadressen en andere persoonlijke gegevens. Er werd gezegd dat sommige blootgestelde dossiers ook medische informatie bevatten die klanten vrijwillig hadden verstrekt, zoals gegevens bedoeld om reisbehoeften of verblijfsverzoeken te ondersteunen.
Het bedrijf zei dat de gecompromitteerde informatie geen betaalkaartgegevens of inloggegevens bevatte. Eurail zei dat betalingsgerelateerde systemen niet werden getroffen en dat er geen bewijs is gevonden dat financiële informatie via het lek is benaderd. Het onderzoek loopt nog en het bedrijf zei dat het samenwerkt met externe cybersecurityspecialisten om te beoordelen hoe de inbraak heeft plaatsgevonden en welke gegevens zijn getroffen.
Eurail zei dat het getroffen klanten rechtstreeks per e-mail op de hoogte stelt. Het heeft ook richtlijnen gegeven over stappen die gebruikers kunnen nemen om het risico te verminderen, waaronder voorzichtig zijn met onverwachte berichten en accounts monitoren op ongewone activiteiten. Het bedrijf zei dat het ondersteuningskanalen heeft opgezet om klanten te helpen die vragen hebben over de vraag of hun informatie betrokken was.
Volgens Europese gegevensbeschermingsregels zijn bedrijven verplicht datalekken te melden die een risico kunnen vormen voor individuen. Eurail zei dat het de relevante autoriteiten heeft geïnformeerd en meewerkt aan eventuele regelgevende onderzoeken. Ook zei het dat het zijn veiligheidsmaatregelen heeft herzien en aanvullende waarborgen invoert na het incident.
De inbreuk heeft opnieuw aandacht gesterkt voor de risico’s die gepaard gaan met het opslaan van gevoelige persoonlijke informatie, met name gezondheidsgerelateerde gegevens die mogelijk niet essentieel zijn voor basisdiensten. Eurail zei dat het verdere updates zal geven naarmate het onderzoek vordert.