Et cyberangreb mod Eurail i slutningen af 2025 har kompromitteret personoplysninger om mindst 300.000 togrejsende.
Ifølge selskabets officielle meddelelse om sagen drejer det sig om mindst 308.777 berørte personer, men det samlede omfang kan vise sig at være endnu større.
Det fremgår af et dokument, som er indsendt til anklagemyndigheden i den amerikanske delstat Oregon, og som Bleeping Computer har fået indsigt i.
Eurail BV, der har hovedsæde i Utrecht og udgiver Eurail- og Interrail-togpas, blev ramt af angrebet i december 2025.
Men først nu begynder sagens omfang for alvor at tegne sig.
Følsomme persondata er lækket
Ifølge oplysningerne omfatter lækagen følsomme personoplysninger som navne, numre på identitetskort, bankkontonumre og kontaktoplysninger.
Det er oplysninger, som er særligt attraktive for cyberkriminelle.
Et brev til de berørte viser, at Eurail først 25. februar 2026 fastslog, hvilke personoplysninger der indgik i de filer, som en uautoriseret aktør overførte fra selskabets netværk 26. december 2025.
Selskabet opfordrer samtidig de berørte til at være ekstra varsomme med at dele personlige oplysninger.
Første melding kom i januar
Eurail oplyste allerede i januar, at selskabets kundedatabase havde været udsat for et databrud, selv om selve hændelsen ifølge selskabet fandt sted i 2025.
På det tidspunkt var det endnu uklart, præcis hvilke oplysninger der var blevet kompromitteret, og hvor mange rejsende der var berørt.
Samtidig udsendte Europa-Kommissionen en særskilt advarsel, fordi Kommissionen samarbejder med Eurail som led i et internationalt program.
Stjålet database dukkede op på dark web
Omtrent en måned efter den offentlige afsløring af cyberangrebet oplyste Eurail, at den stjålne database var blevet sat til salg på dark web.
Via beskedtjenesten Telegram blev der samtidig delt såkaldte testsamples på materialet, der var sat til salg.
Her hævder hackerne, at de er i besiddelse af oplysninger om millioner af rejsende, der er indsamlet via selskabets AWS S3-, Zendesk- og GitLab-miljøer.
Det betyder, at det fulde omfang af datalækket muligvis fortsat ikke er kendt.
Det er endnu uvist, hvem der står bag angrebet mod Eurail.
Du kan læse Eurails brev til de berørte passagerer her.
