Eurail B.V., operatorul abonamentelor Interrail, a confirmat o breșă de securitate care a dus la acces neautorizat la datele clienților, inclusiv informații sensibile de identitate și, pentru unii călători, date bancare și de sănătate.
Incidentul a fost anunțat public pe 10 ianuarie 2026, iar emailurile de notificare către clienți au început să fie trimise pe 13 ianuarie. Breșa afectează atât clienți Eurail/Interrail, cât și participanți în programul DiscoverEU al Comisiei Europene. Eurail nu a făcut public numărul persoanelor afectate, iar investigația este în derulare.
Conform Eurail, datele potențial expuse includ nume și prenume, data nașterii, genul, adresa de email, adresa de domiciliu, numărul de telefon și informații de pașaport (număr, țară emitentă, dată de expirare).
Pentru beneficiarii DiscoverEU, Comisia Europeană precizează că pot fi afectate suplimentar copii ale documentelor de identitate, referințe de cont bancar și date de sănătate. Eurail subliniază că nu stochează în mod obișnuit copii vizuale ale pașapoartelor pentru clienții care cumpără direct un Pass.
Eurail afirmă că a securizat sistemele, a închis vulnerabilitatea, a resetat credențialele și lucrează cu specialiști externi în securitate cibernetică și consilieri juridici. Incidentul a fost raportat autorității olandeze de protecție a datelor și altor autorități relevante, în conformitate cu GDPR.
Compania transmite că, până în prezent, nu există dovezi că datele ar fi fost folosite abuziv sau publicate, însă monitorizarea continuă.
Notificările trimise clienților includ sfaturi pentru identificarea tentativelor de phishing și spoofing bazate pe datele furate.
Eurail recomandă schimbarea parolelor nu doar pentru Rail Planner, ci și pentru alte conturi unde sunt reutilizate aceleași credențiale. Comisia Europeană avertizează că riscurile potențiale includ acces neautorizat la conturi și furt de identitate, în special pentru persoanele ale căror copii de documente și referințe bancare au fost expuse.
