Interrail lijdt onder datalek: mogelijk gaat het om contactgegevens en paspoorten
Eurail B.V., het bedrijf achter de Interrail pas die treinreizen door Europa mogelijk maakt, heeft een databeveiligingsincident aangekondigd nadat onbevoegde toegang was ontdekt in haar systemen. Hierdoor zijn mogelijk bestel-, reserverings- en paspoortgegevens van klanten blootgelegd. Het in Utrecht gevestigde bedrijf kondigde de inbreuk op 10 januari aan en verklaarde dat er een onderzoek loopt met ondersteuning van cyberbeveiligingsspecialisten en juridische adviseurs.
Het onderzoek loopt nog en Eurail heeft nog niet bevestigd of er gegevens zijn gekopieerd of misbruikt. “Er zijn op dit moment geen aanwijzingen dat de gegevens zijn misbruikt of openbaar gemaakt,” verklaarde het bedrijf, eraan toevoegend dat externe cyberbeveiligingsspecialisten de situatie in de gaten houden. Volgens Eurail blijkt uit een eerste onderzoek dat de gegevens in kwestie mogelijk bestel- en reserveringsgegevens van klanten bevatten, waaronder basisidentiteits- en contactgegevens en, indien verstrekt, paspoortgegevens.
EU-jeugdprogramma getroffen
De Europese Commissie kondigde in een verklaring aan dat de inbreuk ook deelnemers aan het DiscoverEU-programma betreft, dat wordt gefinancierd in het kader van Erasmus+. Volgens het Europese jongerenportaal kunnen de gecompromitteerde gegevens bestaan uit namen, paspoortgegevens, bankrekeningreferenties (IBAN) en gezondheidsinformatie. Hoewel er tot nu toe geen misbruik is ontdekt, waarschuwde de Commissie voor potentiële risico’s, waaronder phishingpogingen en identiteitsdiefstal.
Zij adviseerde DiscoverEU-reizigers om wachtwoorden te veranderen, banktransacties te controleren en verdachte activiteiten te melden. De Europese Toezichthouder voor gegevensbescherming is op de hoogte gesteld en er zullen updates worden gegeven naarmate het onderzoek vordert. Eurail heeft de getroffen systemen beveiligd, de toegangsgegevens opnieuw ingesteld en de bewaking verbeterd, aldus de verklaring.
Een herinnering aan digitale risico’s
Eurail heeft het incident gemeld bij de Nederlandse gegevensbeschermingsautoriteit in overeenstemming met de GDPR-vereisten van de EU en brengt andere relevante toezichthouders buiten de EU op de hoogte. Naarmate er meer bekend wordt, zal er direct contact worden opgenomen met de getroffen klanten. Het bedrijf betreurt de ongerustheid die is veroorzaakt en herhaalt zijn inzet voor gegevensbeveiliging.
Het incident herinnert ons eraan dat digitale systemen kwetsbaar zijn, zelfs voor gevestigde reisdiensten. Voor nu wordt klanten geadviseerd om de communicatie van Eurail in de gaten te houden en waakzaam te blijven voor verdachte activiteiten met betrekking tot hun persoonlijke gegevens.
Lees meer:
- LNER cyberaanval: ‘Veiligheid zo sterk als de zwakste schakel’
- De spoorwegsector heeft behoefte aan harmonisatie van de EU-wetgeving inzake cyberbeveiliging
