33の国営鉄道をカバーするデジタルパスを提供するヨーロッパの旅行事業者であるEurail B.V.は、攻撃者が2025年12月のデータ侵害で30万人以上の個人情報を盗んだと述べています。
ユーレイルはオランダを拠点とする企業で、ヨーロッパ横断の多国間列車旅行用のインターレイルおよびユーレイルパスを販売しており、これらのパスはEUのDiscoverEUプログラムを通じて若いヨーロッパ人にも利用可能です。
2月にインシデントを開示した際、同社は攻撃者が顧客データベースに侵入した後、フルネーム、パスポート詳細、ID番号、銀行口座IBAN、健康情報、および連絡先(メールアドレス、電話番号)を含む旅行者の機密情報にアクセスしたと述べました。
ユーレイルはまた、その時点で脅迫行為者が盗まれたデータのサンプルをTelegramに公開し、ダークウェブで販売しようとしていたと警告しました。
「証拠は、権限のない行為者が2025年12月26日に当社ネットワークからファイルを転送したことを示している」と、ヨーロッパの列車旅行会社は3月27日に影響を受けた個人に送付した侵害通知レターで述べました。
「当社は該当するファイルを確認し、2026年2月25日に、それらがあなたの情報の一部を含んでいることを確認しました。この情報はあなたの名前とパスポート番号を含んでいました。」
同日、ユーレイルはオレゴン州司法長官のオフィスへの提出書類で、その結果生じたデータ侵害が308,777人の個人に影響を与えたことを明らかにしました。
ユーレイルは侵害されたシステムに財務情報やパスポート写真を保存していないと述べた一方で、欧州委員会は別のアラートで、このタイプのデータ(および健康情報)がDiscoverEUプログラムを通じてパスを受け取った若い旅行者向けに公開されている可能性があると警告しました。
ユーレイルは、侵害で情報が公開された顧客に対して、潜在的なフィッシング攻撃と詐欺に対して警戒を維持するよう指示し、Rail Plannerアプリのアカウントパスワードを更新し、同様に使用されている他のプラットフォームで重設するよう助言しました。
同社は、顧客が銀行口座の活動を監視し、疑わしい取引があればできるだけ早く銀行に報告するべきだと付け加えました。
先月、欧州委員会は、Europa.euウェブプラットフォームが詐欺団体ShinyHuntersが主張するサイバー攻撃でハッキングされた後、データ侵害を確認しました。
