A Eurail revelou uma violação de dados que expôs informações de clientes, incluindo dados de contato e, em alguns casos, dados relacionados à saúde. A empresa afirmou que o incidente afetou parte de seus usuários e envolveu informações enviadas em conexão com compras de passes ferroviários e serviços ao cliente relacionados.
A Eurail fornece passes ferroviários usados por viajantes para acessar redes ferroviárias em vários países europeus. Os clientes normalmente utilizam o serviço para planejar viagens, gerenciar reservas e receber suporte durante as viagens. A empresa afirmou que a violação envolveu dados conectados aos seus sistemas de clientes, e não diretamente aos operadores ferroviários.
Eurail disse que a violação foi identificada após a detecção de atividade suspeita em seus sistemas. A empresa confirmou que uma parte não autorizada acessou informações dos clientes, incluindo endereços de e-mail e outros dados pessoais. Disse que alguns registros expostos também incluíam informações relacionadas à saúde que os clientes haviam fornecido voluntariamente, como detalhes destinados a apoiar necessidades de viagem ou pedidos de acomodação.
A empresa afirmou que as informações comprometidas não incluíam dados de cartão de pagamento nem credenciais de login. A Eurail afirmou que os sistemas relacionados a pagamentos não foram afetados e que não encontrou evidências de que informações financeiras tenham sido acessadas por meio da violação. A investigação está em andamento, e a empresa afirmou que está trabalhando com especialistas externos em cibersegurança para avaliar como a invasão ocorreu e quais dados foram afetados.
A Eurail informou que está notificando os clientes afetados diretamente por e-mail. Também forneceu orientações sobre medidas que os usuários podem tomar para reduzir riscos, incluindo cautela com mensagens inesperadas e monitoramento de contas para atividades incomuns. A empresa afirmou que criou canais de suporte para ajudar clientes que têm dúvidas sobre se suas informações estavam envolvidas.
De acordo com as regras europeias de proteção de dados, as empresas são obrigadas a relatar violações que possam representar risco para os indivíduos. A Eurail afirmou que notificou as autoridades competentes e está cooperando com quaisquer investigações regulatórias. Também afirmou que revisou seus controles de segurança e está implementando salvaguardas adicionais após o incidente.
A violação renovou a atenção para os riscos associados ao armazenamento de informações pessoais sensíveis, especialmente dados relacionados à saúde que podem não ser essenciais para a prestação básica de serviços. A Eurail afirmou que fornecerá mais atualizações à medida que sua investigação avança.