Eurail B.V. existiert seit 1959 und hat nach eigenen Angaben Millionen Menschen das Reisen durch Europa ermöglicht. Das Unternehmen gehört mehr als 35 europäischen Bahn- und Fährgesellschaften und vertreibt Pässe für das europäische Schienennetz.
Gegenüber Recorded Future News wollte Eurail keine Details zu dem Vorfall nennen, bestätigte aber, dass Angreifer am 26. Dezember in die Systeme eingedrungen seien und dabei Daten kopiert hätten. „Wir können bestätigen, dass während des Sicherheitsvorfalls kopierte Daten im Darknet zum Verkauf angeboten wurden und ein Auszug des Datensatzes auf Telegram veröffentlicht wurde", erklärte ein Sprecher. Kunden, deren personenbezogene Daten in diesem Auszug enthalten seien, würden direkt informiert, sofern dem Unternehmen Kontaktdaten vorlägen. Ob die gestohlenen Daten gegen ein Lösegeld angeboten wurden, ließ Eurail offen.
Die Benachrichtigungsschreiben, die an Betroffene in Oregon, Texas, Kalifornien und weiteren Bundesstaaten verschickt wurden, führen Namen und Passnummern als entwendete Daten auf.
Im Februar bekannte sich ein Hacker zu dem Angriff und gab an, 1,3 Terabyte an Daten erbeutet zu haben, darunter Quellcode, Datenbank-Backups und Support-Tickets aus Zendesk. Nach Darstellung des Angreifers habe sich Eurail geweigert zu verhandeln, woraufhin er den Diebstahl öffentlich gemacht habe.
In einer öffentlichen Stellungnahme im vergangenen Monat erklärte Eurail, der Vorfall sei den Datenschutzbehörden der Europäischen Union sowie weiteren Stellen außerhalb der EU gemeldet worden. Das Unternehmen forderte Kundinnen und Kunden auf, vorsichtig bei Kontaktversuchen zu sein, die nach persönlichen Informationen fragen, und die Passwörter ihrer Rail-Planner-App zu ändern.
Der Angriff hatte auch Folgen für ein separates Reiseprogramm namens DiscoverEU. Dieses warnte seine Teilnehmenden in einer eigenen Mitteilung, dass vermutlich ihre Namen, ihr Alter, Passangaben, Fotokopien ihrer Pässe, Anschrift, Bankkontonummer und teilweise Gesundheitsdaten von dem Datenleck betroffen seien.
