De Nederlandse spoorpasorganisatie Eurail B.V. heeft bevestigd dat gegevens die eerder dit jaar bij een datalek zijn buitgemaakt, inmiddels te koop worden aangeboden op het dark web. Het bedrijf, dat treinpassen verkoopt voor reizen door heel Europa, onderzoekt nog welke gegevens precies zijn gelekt en hoeveel klanten door het incident zijn getroffen.
Eurail B.V. beheert en verkoopt de bekende Eurail- en Interrailpassen, waarmee reizigers toegang krijgen tot ongeveer 250.000 kilometer spoorwegen in Europa. Vooral jonge reizigers maken gebruik van deze passen, onder meer via het Europese DiscoverEU-programma, dat jongeren stimuleert om Europa per trein te verkennen. Juist vanwege die brede en internationale gebruikersgroep kan het datalek grote gevolgen hebben.
Dark web
Vorige maand maakte het bedrijf bekend dat cybercriminelen ongeautoriseerde toegang hadden gekregen tot de klantendatabase. Daarbij werden gevoelige persoonsgegevens buitgemaakt, waaronder volledige namen, paspoortgegevens, identiteitsnummers, IBAN-bankrekeningnummers, gezondheidsinformatie en contactgegevens zoals e-mailadressen en telefoonnummers. Zulke gegevens kunnen waardevol zijn voor identiteitsfraude en financiële oplichting.
In een recente update meldt Eurail dat het zich ervan bewust is dat de gestolen gegevens worden aangeboden op het dark web. Ook zou een deel van de data als voorbeeld zijn gepubliceerd via het berichtenplatform Telegram. “We onderzoeken momenteel om welke specifieke gegevens en hoeveel klanten het precies gaat”, aldus het bedrijf. Eurail zegt individuele klanten te zullen informeren zodra duidelijk is welke informatie per persoon is getroffen.
Gegevensbescherming
De organisatie heeft inmiddels toezichthouders voor gegevensbescherming binnen de Europese Unie geïnformeerd, zoals verplicht onder de Algemene verordening gegevensbescherming (AVG). Ook autoriteiten buiten de EU zullen op korte termijn op de hoogte worden gebracht.
Ondertussen adviseert Eurail klanten om alert te zijn op phishingpogingen en andere vormen van fraude. Gebruikers wordt aangeraden hun wachtwoord van de Rail Planner-app te wijzigen en dit ook te doen op andere platforms waar hetzelfde wachtwoord wordt gebruikt. Daarnaast is het belangrijk bankrekeningen nauwlettend te controleren en verdachte transacties direct te melden bij de bank.
Kwetsbaarheid
Het incident onderstreept opnieuw hoe kwetsbaar grote databases met persoonlijke informatie kunnen zijn, vooral wanneer organisaties internationaal opereren en gegevens van miljoenen reizigers beheren. Zolang niet duidelijk is hoeveel mensen precies zijn getroffen en hoe de aanvallers toegang hebben gekregen, blijft de impact van het datalek onzeker, maar de mogelijke risico’s voor reizigers zijn aanzienlijk.
Reisplatform Interrail slachtoffer van beveiligingslek: klantgegevens ontvreemd