A Eurail B.V., operadora europeia de viagens que oferece passes digitais com cobertura para 33 ferrovias nacionais, informou que invasores roubaram dados pessoais de mais de 300.000 pessoas em uma violação de dados ocorrida em dezembro de 2025.
Com sede na Holanda, a empresa vende os passes Interrail e Eurail para viagens de trem entre vários países da Europa.
Esses passes também são disponibilizados a jovens europeus por meio do programa DiscoverEU, da União Europeia.
Ao divulgar o incidente em fevereiro, a companhia afirmou que os atacantes conseguiram acessar informações sensíveis dos viajantes, incluindo nomes completos, dados de passaporte, números de identificação, IBAN de contas bancárias, informações de saúde e dados de contato, como endereços de e-mail e números de telefone, após invadirem o banco de dados de clientes.
Na época, a Eurail também alertou que os threat actors haviam publicado uma amostra dos dados roubados no Telegram e tentavam vendê-los na dark web.
“As evidências mostraram que um ator não autorizado transferiu arquivos da nossa rede em 26 de dezembro de 2025”, informou a empresa ferroviária europeia em cartas de notificação enviadas aos afetados em 27 de março.
“Analisamos os arquivos envolvidos e, em 25 de fevereiro de 2026, concluímos que eles continham algumas das suas informações.
Os dados incluíam seu nome e número de passaporte.”
No mesmo dia, a Eurail revelou em uma comunicação ao gabinete da procuradora-geral do Oregon que o vazamento afetou 308.777 pessoas.
Embora a empresa tenha afirmado que não armazenava informações financeiras nem cópias de passaportes nos sistemas comprometidos, a Comissão Europeia alertou em comunicado separado que esse tipo de dado, assim como informações de saúde, pode ter sido exposto para jovens viajantes que receberam um Pass pelo programa DiscoverEU.
A Eurail orientou os clientes cujas informações foram expostas a redobrar a atenção contra possíveis ataques de phishing e scams, além de recomendar a troca da senha da conta no aplicativo Rail Planner e a redefinição em qualquer outra plataforma onde a mesma senha também seja usada.
A empresa acrescentou que os clientes devem monitorar a movimentação de suas contas bancárias e comunicar imediatamente ao banco qualquer transação suspeita.
No mês passado, a Comissão Europeia também confirmou uma violação de dados após a plataforma Europa.eu ser invadida em um cyberattack atribuído ao grupo de extorsão ShinyHunters.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...