Die Sicherheitsverletzung bei Eurail zeigt sich als eines der größeren Datenlecks im europäischen Reisesektor. Der Hackerangriff war zunächst eher unauffällig vorgegangen: Im Januar 2026 warnte das Unternehmen seine Kundschaft, dass Besitzer eines Eurail-Passes betroffen sein könnten. Doch die wahren Ausmaße wurden erst später deutlich, als Cyberkriminelle auf einschlägigen Hackerforen damit prahlten, die Daten gestohlen zu haben.
Dem Bericht nach drangen die Angreifer in mehrere Systeme des Unternehmens ein. Neben den AWS-S3-Speichern (Amazon Web Services) gelang ihnen der Zugriff auf die Kundenbetreuungssoftware Zendesk sowie auf das Code-Repository GitLab. Aus diesen Quellen erbeuteten sie insgesamt etwa 1,3 Terabyte Daten – eine enorme Menge, die Quellcode, Support-Tickets und Datenbank-Backups umfasste.
Besonders bemerkenswert: Während Namen und Passnummern tatsächlich gestohlen wurden, versicherte Eurail, dass Kreditkartendaten und Scans von Ausweisdokumenten nicht in den Händen der Angreifer landen konnten, da diese nicht in den betroffenen Systemen gespeichert waren. Ein schwacher Trost für die betroffenen Kunden.
Nach gescheiterten Verhandlungen mit der Reiseplatform begannen Hacker im Februar 2026 damit, die Daten öffentlich anzubieten. Sie veröffentlichten Musterauszüge in Telegram-Kanälen und boten die kompletten Datenbestände im Dark Web zum Verkauf an. Erst im März bestätigte Eurail diesen Vorfall offiziell und kündigte an, Betroffene direkt zu kontaktieren.
Die jüngsten Breach-Meldungen zeigen, dass die tatsächliche Zahl der Opfer bei etwa 308.777 Personen liegt – Eurail teilt dies der Justizmin. In Oregon mit. Schriftliche Benachrichtigungen sind unterwegs. Für deutsche Reisende, die regelmäßig Eurail nutzen, empfiehlt sich erhöhte Wachsamkeit bei verdächtigen Anfragen und die Überprüfung von Kontoaktivitäten. Die Sicherheitslücken, die Eurail aufdeckte, unterstreichen auch die Notwendigkeit robusterer Sicherheitskontrollen in der Reisebranche.