Enligt Eurail upptäcktes intrånget nyligen, varefter företaget omedelbart vidtog åtgärder för att säkra sina system. En extern utredning har inletts med stöd av cybersäkerhetsspecialister för att klarlägga intrångets omfattning och vilka uppgifter som kan ha påverkats. Händelsen har även rapporterats till relevanta dataskyddsmyndigheter i enlighet med EU:s dataskyddsförordning, GDPR.
Den preliminära granskningen visar att angriparen kan ha fått tillgång till personuppgifter såsom namn, kontaktuppgifter, födelsedatum och kön. Även passrelaterad information – exempelvis passnummer, utfärdandeland och giltighetstid – kan ha varit åtkomlig i de fall där kunder lämnat dessa uppgifter. Några kopior av pass eller andra identitetshandlingar ska dock inte ha ingått.
Eurail uppger att det i nuläget inte finns några bevis för att uppgifterna har missbrukats eller spridits offentligt. Företaget säger att situationen övervakas kontinuerligt av externa säkerhetsexperter medan utredningen pågår.
Det är ännu oklart hur många kunder som kan ha påverkats av intrånget. Enligt Eurail kan både innehavare av Eurail- och Interrail-pass samt deltagare i EU-programmet DiscoverEU omfattas, men något exakt antal har inte kommunicerats.
Som en försiktighetsåtgärd rekommenderar Eurail att kunder byter lösenord till Rail Planner-appen och till andra konton där samma inloggningsuppgifter kan ha använts, såsom e-post, sociala medier och banktjänster. Företaget varnar även för risken för bedrägeriförsök och uppmanar kunder att vara extra vaksamma mot oväntade telefonsamtal, mejl eller sms som efterfrågar personuppgifter.
