Kultowy europejski bilet kolejowy czeka inny rodzaj podróży po tym, jak hakerzy zagrozili wystawieniem na aukcję tego, co według nich stanowi 1,3 TB danych pasażerów.
Po tym, jak Eurail opublikował powiadomienie o naruszeniu danych, cyberprzestępcy zaczęli rozpowszechniać groźby opublikowania skradzionych danych pasażerów w internecie. W niedawnym wpisie na znanym forum cyberprzestępczym sprawca zagrożenia twierdził, że posiada 1,3 TB danych firmy.
Według tych twierdzeń dane pochodzą z usług AWS S3, Zendesk i GitLab należących do Eurail. Atakujący twierdzili również, że posiadają dane osobowe (PII) milionów klientów Eurail.
Post atakującego na forum cyberprzestępczym.
Atakujący twierdzą, że Eurail nie współpracuje
„Firma przerwała negocjacje, więc upublicznimy to” – zagrozili atakujący, kierując wszystkich zainteresowanych na swój kanał w Telegramie.
Jednak na kanale atakujący próbują sprzedać skradziony zbiór danych temu, kto zaoferuje najwięcej. Jeśli taki kupiec się nie zgłosi, ponownie twierdzą, że dane zostaną upublicznione.
Atakujący twierdzą, że łączna liczba wierszy surowych danych w skradzionym zbiorze wynosi 100 milionów. Na poparcie swoich twierdzeń przesłali kilka próbek danych na swój kanał w Telegramie, które zbadał zespół badawczy Cybernews.
Próbki zawierały rzekomy inwentarz plików będących w posiadaniu sprawców, w tym kolumny danych i 50 wpisów z każdego z pięciu wymienionych plików. Część danych wydaje się mieć około pięciu lat, podczas gdy inne rekordy pochodzą z końca 2025 roku.
Próbki z plików obejmują:
- Pełne imiona i nazwiska
- Numery dokumentów tożsamości
- Adresy
- Informacje kontaktowe
- Daty i miejsca urodzenia
- Szczegóły zakupionych biletów Eurail/InterRail
„Nie możemy być pewni wielkości pełnego zbioru danych, ponieważ te próbki są dość małe liczbowo. Wpływ na poszkodowane osoby to całkiem poważne ryzyko kradzieży tożsamości, oszustw i ataków inżynierii społecznej” – wyjaśnili badacze Cybernews.
Eurail przyznał, że doszło do „incydentu bezpieczeństwa danych”
W powiadomieniu pierwotnie opublikowanym w styczniu Eurail twierdzi, że „incydent bezpieczeństwa danych” w systemach Interrail skutkował nieautoryzowanym dostępem do danych klientów.
„Nasz wstępny przegląd sugeruje, że uzyskane dane mogą obejmować informacje o zamówieniach i rezerwacjach klientów, w tym podstawowe dane tożsamości i kontaktowe, a także, w stosownych przypadkach, informacje dotyczące towarzyszy podróży” – napisała firma.
Przyznali również, że w niektórych przypadkach mogły zostać skradzione informacje paszportowe. Takie informacje obejmują numer paszportu, kraj wydania lub datę ważności, które są wykorzystywane przez kontrolerów biletów do potwierdzenia tożsamości posiadacza biletu (Pass).
13 lutego firma opublikowała aktualizację, w której potwierdziła niedawne groźby ze strony atakujących.
Post na Telegramie.
„Eurail B.V. potwierdziło, że pewne dane klientów dotknięte wcześniej zgłoszonym incydentem bezpieczeństwa zostały zaoferowane na sprzedaż w dark webie, a przykładowy zestaw danych został opublikowany na Telegramie. Kontynuujemy badanie zakresu i wpływu” – czytamy w aktualizacji.
Według Eurail obecnie nie ma dowodów na to, że dane zostały niewłaściwie wykorzystane lub publicznie ujawnione. Liczba poszkodowanych klientów pozostaje w tej chwili niejasna.
Eurail radzi ofiarom zmianę haseł do kont e-mail, mediów społecznościowych i bankowości. Firma zaleca również zachowanie czujności na próby phishingu i ścisłe monitorowanie wszelkich nietypowych transakcji na koncie bankowym.
Eurail B.V. to firma z siedzibą w Holandii, która zarządza i sprzedaje bilety Eurail Pass, umożliwiające podróżnym międzynarodowym zwiedzanie Europy pociągiem na jednym bilecie.
Współpracując z dziesiątkami partnerów kolejowych i promowych, firma zapewnia dostęp do ponad 250 000 kilometrów tras kolejowych w ponad 33 krajach europejskich. W 2024 roku firma odnotowała rekordowy wzrost, przekraczając liczbę 1,2 miliona biletów Eurail i Interrail sprzedanych na całym świecie.
Klienci Eurail oburzeni
Po ujawnieniu informacji o wycieku, na Reddicie szybko pojawiły się gniew i sceptycyzm, gdzie klienci Eurail domagali się od firmy wzięcia odpowiedzialności.
„Powinni dać mi darmowy bilet następnym razem jako rekompensatę” – napisał jeden z użytkowników.
„Więc gdzie jest rekompensata?” – zapytał inny.
Niektórzy domagali się większej przejrzystości co do zakresu ujawnienia danych.
„Chciałbym wiedzieć, kto uzyskał dostęp do moich danych, przynajmniej w jakim kraju lub regionie, i żądam jakiejś formy rekompensaty” – napisał użytkownik Reddita, wzywając do jasności i naciskając na bardziej szczegółowe ujawnienie informacji.
Próbka danych dostarczona przez atakującego.
Dla niektórych obawy były głęboko osobiste.
„Oczywiście jestem teraz bardzo zaniepokojony, ponieważ, jak inni tutaj, WSZYSTKIE moje kluczowe dane zostały skradzione za jednym zamachem, a dane paszportowe są największym zmartwieniem. Zastanawiam się, czy powinniśmy anulować nasze paszporty i zamówić nowe” – powiedział jeden z użytkowników, podkreślając obawy o niewłaściwe wykorzystanie tożsamości.
Inni krytykowali to, co określili jako ograniczone wytyczne.
„Co mamy teraz zrobić? Nie podali żadnych wskazówek poza 'uważajcie na e-maile phishingowe!' Poważnie? To niesamowicie niepokojące”.
Incydent skłonił również do szerszych refleksji na temat higieny danych.
„To smutne przypomnienie, aby usuwać dane osobowe poprzez żądania RODO po skorzystaniu z takich usług” – zauważył inny użytkownik Reddita.
