Après la divulgation d’un incident de sécurité touchant Eurail, l’affaire franchit une nouvelle étape. Des données de voyageurs, dont certaines particulièrement sensibles, circulent désormais sur le dark web. L’opérateur confirme la situation tandis que les institutions européennes suivent le dossier.
Un incident qui évolue en exploitation criminelle
Un mois après la révélation d’un incident de sécurité, des données liées à des voyageurs Eurail sont désormais proposées à la vente en ligne. Des acteurs malveillants ont publié un échantillon d’informations pour attester de l’authenticité du vol, marquant le passage d’un simple accès non autorisé à une phase de monétisation.
Eurail confirme avoir « appris que certaines données ont été proposées à la vente sur le dark web » et poursuit l’analyse de l’incident avec des experts externes. L’entreprise indique avoir identifié un accès non autorisé à ses systèmes et explique avoir « immédiatement pris des mesures pour sécuriser l’environnement informatique ».
Les informations concernées incluent notamment des données d’identité et des copies de documents officiels, ainsi que d’autres éléments personnels fournis lors de la réservation ou de la gestion des pass. L’entreprise précise que l’enquête doit encore déterminer « quelles données exactes sont concernées et combien de personnes sont touchées ».
Des données sensibles et des voyageurs européens concernés
Parmi les personnes touchées figurent également des participants du programme DiscoverEU, financé par Erasmus+. La Commission européenne a été notifiée et suit l’évolution de la situation.
Les données exposées couvrent plusieurs catégories d’informations personnelles collectées lors de l’achat ou de l’utilisation des titres de transport. Eurail évoque des coordonnées, des dates de naissance et, lorsque fournis par l’utilisateur, « des informations issues de documents d’identité, notamment des données de passeport ».
L’entreprise précise toutefois « ne pas conserver de copie visuelle du passeport lors d’un achat direct ».
Les autorités évoquent des risques de fraude, d’usurpation d’identité et de campagnes de phishing ciblées à la suite de cette diffusion.
Une gestion sous surveillance
Eurail indique poursuivre l’analyse technique de l’incident et coopérer avec les organismes compétents. L’entreprise a déclaré la violation aux autorités de protection des données « conformément au RGPD » et prévoit d’informer individuellement les clients concernés lorsque leurs coordonnées sont disponibles.
Elle recommande également de rester vigilant face aux communications suspectes et rappelle « ne jamais demander d’informations sensibles de manière non sollicitée ». Les voyageurs sont invités à modifier leurs mots de passe et à surveiller toute activité bancaire inhabituelle.
Eurail assure « prendre la sécurité des informations très au sérieux » et poursuivre la surveillance des espaces en ligne afin d’évaluer les conséquences de la diffusion des données.
