Μια εκτεταμένη κυβερνοεπίθεση στην Eurail, που σημειώθηκε τον Δεκέμβριο, έχει φέρει σε δύσκολη θέση πάνω από 300.000 πελάτες σε ολόκληρη την Ευρώπη. Τα κλεμμένα δεδομένα, που περιλαμβάνουν αριθμούς διαβατηρίων και λεπτομερή προσωπικά στοιχεία, κυκλοφορούν ήδη προς πώληση στο dark web, ενώ δείγματά τους έχουν διαμοιραστεί στο Telegram. Η εταιρεία, με έδρα την Ολλανδία, επιβεβαίωσε την παραβίαση, ενώ αρχές στο Ηνωμένο Βασίλειο και τη Δανία συμβουλεύουν τους θιγόμενους πολίτες να ακυρώσουν τα διαβατήριά τους.
Τι δεδομένα κλάπηκαν και πού εμφανίστηκαν
Η Eurail είναι η ολλανδική εταιρεία που εκδίδει τις δημοφιλείς κάρτες Eurail και Interrail, οι οποίες παρέχουν πρόσβαση σε απεριόριστα σιδηροδρομικά ταξίδια σε 33 χώρες της Ευρώπης και σε πάνω από 30.000 προορισμούς — από τη βόρεια Νορβηγία έως τις νότιες ακτές της Τουρκίας. Η παραβίαση έλαβε χώρα τον Δεκέμβριο και αφορά ευαίσθητα προσωπικά στοιχεία εκατοντάδων χιλιάδων χρηστών, με την εταιρεία να επιβεβαιώνει τη διαρροή επίσημα. Τα κλεμμένα στοιχεία περιλαμβάνουν αριθμούς διαβατηρίων, ονόματα, στοιχεία επικοινωνίας, διευθύνσεις κατοικίας και ημερομηνίες γέννησης — δηλαδή ακριβώς τα στοιχεία που χρειάζονται για απόπειρα υποκλοπής ταυτότητας. Δείγματα των δεδομένων αυτών έχουν ήδη εμφανιστεί στο Telegram, ενώ το σύνολό τους φέρεται να πωλείται σε αγορές του dark web.
Οι αρχές σε αρκετές ευρωπαϊκές χώρες άρχισαν να εκδίδουν προληπτικές οδηγίες μόλις έγινε γνωστή η έκταση της παραβίασης. Το Γραφείο Διαβατηρίων του Ηνωμένου Βασιλείου συμβούλεψε τουλάχιστον έναν πολίτη να ακυρώσει το διαβατήριό του «για να αποτρέψει τη χρήση του για δόλια δραστηριότητα» — με το πλήρες κόστος αντικατάστασης να βαρύνει τον ίδιο τον πελάτη. Παρόμοιες οδηγίες έχουν εκδοθεί και στη Δανία, όπου το κόστος αντικατάστασης διαβατηρίου ενδέχεται να είναι ακόμα υψηλότερο για τους θιγόμενους. Το εύρος της επίπτωσης γίνεται αντιληπτό και από το γεγονός ότι οι κάρτες Eurail και Interrail χρησιμοποιούνται από εκατομμύρια ταξιδιώτες ετησίως σε ολόκληρη την Ευρώπη.
Έντονη κριτική στην Eurail και συζητήσεις για αγωγές
Η αντίδραση των θιγόμενων πελατών κυμαίνεται μεταξύ φόβου και οργής απέναντι στην εταιρεία. «Είναι ένας απόλυτος εφιάλτης», δήλωσε ένας ταξιδιώτης στη βρετανική εφημερίδα Guardian, τονίζοντας ότι η ανησυχία του κορυφώνεται καθώς πλησιάζουν τα καλοκαιρινά ταξιδιωτικά σχέδια. Άλλοι εκφράζουν σύγχυση για τη σοβαρότητα του κινδύνου και ζητούν σαφείς επίσημες οδηγίες πριν προβούν σε δαπανηρές ενέργειες, όπως η αντικατάσταση των διαβατηρίων τους. «Ειλικρινά δεν έχω ιδέα πόσο σοβαρό είναι αυτό», ανέφερε ένας πελάτης, ζητώντας ταυτόχρονα αποζημίωση εάν αποδειχθεί αναγκαία η αντικατάσταση. Σε διαδικτυακά φόρα έχουν ξεκινήσει συζητήσεις για συλλογική νομική δράση, με χρήστες να επικαλούνται δικαιώματα αποζημίωσης βάσει του GDPR, του Γενικού Κανονισμού Προστασίας Δεδομένων της Ευρωπαϊκής Ένωσης.
Η Eurail αντέδρασε εκδίδοντας επίσημη ανακοίνωση, επισημαίνοντας ότι «λαμβάνει σοβαρά υπόψη την ασφάλεια των δεδομένων» και εκφράζοντας «λύπη για οποιαδήποτε ανησυχία μπορεί να προκαλέσει αυτό το περιστατικό». Ωστόσο, η δήλωση αυτή δεν έπεισε πολλούς από τους θιγόμενους. «Δεν έλαβαν σοβαρά υπόψη την ασφάλεια των δεδομένων μου και δεν έχει αξία για μένα ότι λυπούνται», δήλωσε ένας πελάτης, εκφράζοντας φόβους για πιθανή κακόβουλη χρήση της ταυτότητάς του. Η εταιρεία τονίζει ότι έχει ήδη επικοινωνήσει με όλους τους χρήστες των οποίων τα στοιχεία φαίνεται να έχουν διαρρεύσει, και ότι συνεχίζει να ενημερώνει τους θιγόμενους καθώς η υπόθεση εξελίσσεται.
Τι πρέπει να κάνουν οι θιγόμενοι χρήστες
Η Eurail έχει ζητήσει από τους χρήστες που επλήγησαν να λάβουν άμεσα μέτρα αυτοπροστασίας. Συγκεκριμένα, τους καλεί να αλλάξουν τους κωδικούς πρόσβασης σε όλες τις πλατφόρμες που χρησιμοποιούν, να επαγρυπνούν απέναντι σε ύποπτες επικοινωνίες και να ενισχύσουν την ασφάλεια των τραπεζικών τους λογαριασμών. Η εταιρεία υπογραμμίζει ότι έχει ήδη ειδοποιήσει όλους τους χρήστες των οποίων τα δεδομένα φαίνεται να έχουν εκτεθεί. Παράλληλα, δηλώνει ότι η υπόθεση βρίσκεται ακόμα σε εξέλιξη και ότι κύρια προτεραιότητα της εταιρείας είναι ο περιορισμός των συνεπειών για τους πελάτες.
