Eurail B.V., un opérateur de voyage basé aux Pays-Bas, a récemment révélé qu’un incident de sécurité survenu en décembre 2025 a compromis les données personnelles de plus de 300,000 individus. Ce groupe, qui fournit des passes digitaux pour 33 chemins de fer nationaux, a partagé les détails de cette violation dans un communiqué publié en février.
La société est connue pour la vente de passes Interrail et Eurail, permettant des voyages en train à travers l’Europe, notamment pour les jeunes grâce au programme DiscoverEU de l’Union européenne.
Selon les informations divulguées, les attaquants ont accédé à des données sensibles, notamment noms complets, détails de passeport, numéros d’identification, IBANs bancaires, informations de santé et coordonnées personnelles (adresses électroniques, numéros de téléphone), à partir de la base de données clients de l’entreprise.
Eurail a également indiqué que les acteurs malveillants avaient publié un échantillon des données volées sur Telegram et tentaient de les vendre sur le dark web.
Dans les lettres de notification envoyées aux victimes le 27 mars, l’entreprise a précisé : « Les preuves ont montré qu’un acteur non autorisé avait transféré des fichiers depuis notre réseau le 26 décembre 2025. » Le 25 février 2026, il a été confirmé que des informations, y compris noms et numéros de passeport, faisaient partie des données compromises.
Le jour même, Eurail a informé le Bureau du Procureur Général de l’Oregon que la violation avait concerné 308,777 personnes.
Bien qu’Eurail ait déclaré ne pas avoir stocké d’informations financières ni de photocopies de passeports sur les systèmes compromis, la Commission européenne a averti que ce type de données, ainsi que des informations de santé, pouvaient avoir été exposées pour les jeunes ayant bénéficié d’un pass via le programme DiscoverEU.
La société a conseillé à ses clients de rester attentifs face à d’éventuelles tentatives de phishing et d’escroqueries. Elle leur a recommandé de mettre à jour leurs mots de passe sur l’application Rail Planner et de les réinitialiser sur toute autre plateforme où ils pourraient être utilisés. De plus, il a été conseillé de surveiller les activités bancaires et de signaler toute transaction suspecte à leur banque.
Enfin, le mois dernier, la Commission européenne a confirmé elle-même une violation de données après le piratage de la plateforme Europa.eu, revendiquée par le groupe d’extorsion ShinyHunters.