In den Benachrichtigungsschreiben an die Betroffenen schilderte Eurail den zeitlichen Ablauf des Vorfalls. Demnach habe ein unbefugter Akteur Dateien aus dem Netzwerk des Unternehmens übertragen. Erst bei der anschließenden Auswertung der betroffenen Dateien stellte Eurail fest, dass darin personenbezogene Daten enthalten waren – konkret Namen und Passnummern.

Am selben Tag legte das Unternehmen in einer Meldung an die Generalstaatsanwaltschaft von Oregon offen, dass das Datenleck 308.777 Personen betrifft.

Eurail betonte, auf den kompromittierten Systemen seien weder Finanzdaten noch Kopien von Reisepässen gespeichert gewesen. Die Europäische Kommission warnte allerdings in einer gesonderten Mitteilung, dass genau solche Daten – ebenso wie Gesundheitsinformationen – bei jungen Reisenden offengelegt worden sein könnten, die ihren Pass über das DiscoverEU-Programm erhalten hatten.

Betroffenen Kunden riet Eurail, wachsam gegenüber möglichen Phishing-Angriffen und Betrugsversuchen zu bleiben. Sie sollten zudem die Passwörter ihres Kontos in der Rail-Planner-App ändern und diese auf allen weiteren Plattformen zurücksetzen, auf denen sie dieselben Zugangsdaten verwenden. Darüber hinaus empfahl das Unternehmen, die Kontobewegungen im Blick zu behalten und verdächtige Transaktionen umgehend der eigenen Bank zu melden.

Bereits zuvor hatte die Europäische Kommission ein eigenes Datenleck bestätigt, nachdem die Webplattform Europa.eu bei einem Cyberangriff kompromittiert worden war. Zu diesem Angriff bekannte sich die Erpressergruppe ShinyHunters.