Eurail hatte den Vorfall erstmals im Januar öffentlich gemacht. Damals warnte das Unternehmen, dass Kunden betroffen sein könnten, denen ein Eurail-Pass ausgestellt worden war. Die Daten wurden entwendet, nachdem Angreifer in das Netzwerk des Unternehmens mit Sitz in den Niederlanden eingedrungen waren und Dateien mit grundlegenden Identitäts- und Kontaktinformationen abgegriffen hatten.

Im Februar rühmte sich ein Angreifer auf einer im offenen Web zugänglichen Cybercrime-Seite damit, rund 1,3 Terabyte an Daten aus den AWS-S3-, Zendesk- und GitLab-Instanzen von Eurail gestohlen zu haben, darunter Quellcode, Support-Tickets und Datenbank-Backups.

Der Angreifer behauptete, die persönlichen Informationen von Millionen Eurail- beziehungsweise Interrail-Kunden erbeutet zu haben, und gab an, dass Verhandlungen mit dem Reiseunternehmen gescheitert seien.

Anfang März bestätigte Eurail, dass der Angreifer die gestohlenen Daten im Darknet angeboten und einen Beispieldatensatz auf seinem Telegram-Kanal veröffentlicht hatte. Das Unternehmen erklärte zugleich, es speichere weder Bank- noch Kreditkartendaten und auch keine bildlichen Kopien von Reisepässen. „Kunden, deren personenbezogene Daten in dem Beispieldatensatz enthalten waren, werden direkt informiert, sofern uns Kontaktdaten vorliegen“, teilte das Unternehmen mit.

In diesem Zeitraum reichte Eurail zudem Datenschutzmeldungen bei den Generalstaatsanwaltschaften mehrerer US-Bundesstaaten ein und legte darin offen, dass bei dem Angriff Namen und Passnummern gestohlen wurden. Gegenüber der Generalstaatsanwaltschaft von Oregon gab das Unternehmen an, dass das Datenleck genau 308.777 Personen betrifft. Die potenziell betroffenen Personen werden schriftlich benachrichtigt.