Een grootschalig datalek dat afgelopen december plaatsvond, heeft honderdduizenden burgers in Europese landen getroffen, omdat klantgegevens van Eurail lijken te zijn gelekt en te koop zijn aangeboden op het zogenaamde dark web. Volgens informatie gepubliceerd door The Guardian zijn mogelijk meer dan 300.000 gebruikers blootgesteld, waarbij sommige regeringen zelfs zo ver gaan om aan te bevelen om paspoorten te vervangen om veiligheidsredenen.
Eurail- en Interrail-reispassen zijn een bijzonder populaire keuze onder treinreizigers in Europa, waarmee ze onbeperkt kunnen reizen in 33 landen en toegang hebben tot tienduizenden bestemmingen – van Scandinavië tot de Middellandse Zee. Het in Nederland gevestigde bedrijf bevestigde dat de gestolen gegevens gevoelige informatie bevatten, zoals paspoortnummers, namen, contactgegevens, adressen en geboortedata. Een deel van deze gegevens lijkt al online te zijn verspreid, terwijl naar verluidt voorbeelden openbaar zijn gemaakt op platforms zoals Telegram.
In verschillende landen zijn de autoriteiten begonnen met het geven van waarschuwingen. In Groot-Brittannië kreeg een getroffen burger bijvoorbeeld van de relevante instantie de opdracht zijn paspoort in te trekken om mogelijke fraude te voorkomen – waarbij de kosten voor vervanging voor zijn rekening kwamen. Soortgelijke gevallen zijn gemeld in Denemarken, waar de kosten zelfs nog hoger kunnen zijn.
Het incident heeft tot grote bezorgdheid en ontevredenheid bij klanten geleid. Velen zeggen dat ze niet weten hoe ernstig het risico is, terwijl anderen om duidelijker advies vragen voordat ze kostbare maatregelen nemen, zoals het vervangen van paspoorten. Er gaan ook stemmen op die om compensatie vragen als een dergelijke procedure toch nodig blijkt te zijn.
Eurail op zijn beurt suggereert dat gebruikers basisbeschermingsmaatregelen nemen, zoals het wijzigen van wachtwoorden, alert zijn op verdachte berichten en het verbeteren van de beveiliging van hun bankrekeningen. Tegelijkertijd stelt zij dat zij de zaak serieus neemt en betuigt zij haar spijt over de verstoring die is veroorzaakt.
Verschillende klanten zijn echter kritisch en beweren dat het bedrijf hun persoonlijke gegevens niet voldoende heeft beschermd. In online communities zijn er zelfs al discussies begonnen over een mogelijke collectieve actie, met verwijzingen naar compensatierechten op basis van de Algemene Verordening Gegevensbescherming van de Europese Unie. Eurail wijst erop dat het de getroffenen blijft informeren en dat het al contact heeft opgenomen met alle gebruikers van wie de gegevens lijken te zijn gelekt. Zoals zij benadrukt blijft haar voornaamste prioriteit het beperken van de gevolgen voor cliënten, naarmate de zaak zich blijft ontwikkelen.
