欧洲铁路公司证实,黑客在暗网上出售被盗的欧洲铁路旅客信息
在攻击者将数百万欧洲铁路旅客的敏感记录发布到暗网犯罪市场上后,欧洲铁路公司(Eurail BV)1月份披露的未经授权的数据库访问事件演变成一场全面的身份盗窃危机。欧洲铁路公司证实,今年早些时候数据泄露事件中被盗的旅客数据目前正在暗网上出售。该公司披露这一消息,是其持续应对此次网络安全事件的一部分。
欧洲铁路公司(Eurail BV)在一份声明中证实:“此前报告的安全事件中受影响的部分客户数据已在暗网上出售,并且部分样本数据集已发布在Telegram上。我们正在继续调查事件的范围和影响。”事态升级使得数据泄露事件演变为一场可能危及数百万欧洲旅客身份的紧急事件。
欧洲铁路公司称其已立即采取措施进一步加强系统安全,正在实施额外的安全措施,并与外部网络安全专家合作调查此次事件。
Eurail BV是一家总部位于荷兰的公司,负责管理和销售欧洲铁路通票(Eurail Pass),使国际旅客能够凭借一张车票乘坐火车游览欧洲。该公司与数十家铁路和轮渡合作伙伴携手,提供覆盖30多个欧洲国家超过25万公里铁路线路的通行服务,简化了跨境铁路旅行。
欧洲铁路公司通告泄露事件的受害者 欧洲铁路公司(Eurail BV)证实,其系统遭到安全漏洞攻击,导致客户数据遭到未经授权的访问,其中包括欧盟委员会“发现欧盟”(DiscoverEU)项目的参与者数据。该公司表示,已迅速采取措施保护系统安全,并在外部网络安全和法律专家的协助下展开调查。
这意味着此次事件影响了所有持有欧洲铁路通票的乘客,以及通过该公司预订座位的乘客,包括通过合作伙伴渠道或分销商购买欧洲铁路通票或欧洲铁路联票的乘客。该公司尚未公布受影响的总人数,但欧洲铁路通票覆盖欧洲25万公里铁路,每年服务数百万旅客。
初步调查结果显示,此次数据泄露可能涉及订单和预订详情、基本身份和联系数据、旅行伙伴信息,在某些情况下还可能涉及护照号码和有效期。该公司在一月份发布的一份更新报告写道:“健康方面的数据。”
受影响的个人数据可能包括:
全名(姓名、姓氏)、出生日期或年龄、护照/身份证信息或复印件 邮政地址和居住国家/地区、联系方式(例如电子邮件地址和电话号码) 银行账户参考号(IBAN) 健康数据 该公司指出,其不存储支付卡数据或护照复印件。该公司已按照GDPR法规的要求通知了相关部门。护照号码、IBAN银行信息和健康数据的组合为复杂的身份盗窃提供了可乘之机,这种盗窃行为可能在最初泄露后持续数年之久。
直接从欧洲铁路公司(Eurail)或欧洲铁路通票公司(Interrail)购买旅行通票的乘客,其护照照片并未存储在公司系统中。然而,通过“探索欧盟”(DiscoverEU)项目获得通票的乘客则不同——该项目是由伊拉斯谟计划(Erasmus)资助的,旨在鼓励旅行者乘坐火车探索欧盟。
欧盟委员会确认,参与伊拉斯谟+计划的DiscoverEU旅行者的身份证复印件、银行账户信息和健康数据也可能遭到泄露。委员会已根据适用的数据保护法律法规,将此次数据泄露事件通报给了欧洲数据保护监管机构。
欧洲铁路公司提醒客户持续保持警惕 网络攻击发生后,欧洲铁路公司最初于1月10日公开披露了此次数据泄露事件。该公司承认攻击者未经授权访问了其客户数据库,并表示在最初发布通知时,没有证据表明客户数据被滥用或公开披露。然而,2月13日的更新证实了暗网销售活动,公司立场发生了巨大转变。
欧洲铁路公司已根据欧盟《通用数据保护条例》(GDPR)的要求向数据保护机构报告了此次事件,并根据需要通知了欧盟以外的其他数据保护机构。该公司可能面临监管机构对其持有敏感文件(包括护照复印件和健康数据)的时间长短的审查。
欧洲铁路通票公司建议乘客更新其铁路规划应用程序账户密码,并在任何其他使用相同凭据的平台上重置密码。乘客应密切关注银行账户活动,并立即向银行报告任何可疑交易。
鉴于护照号码、IBAN账户信息和健康记录等敏感信息泄露,受影响的旅客面临的风险远超一般的网络钓鱼攻击。护照数据可能被用于身份文件欺诈,而IBAN账户信息则可能被用于直接的金融诈骗。参与DiscoverEU项目的客户面临的风险最高,因为可能泄露的数据类别范围很广。
受影响的客户可以直接联系Eurail的隐私团队[email protected] ,以获取有关此次数据泄露对其特定账户影响的进一步指导。
欧洲铁路公司提醒客户,切勿向主动联系或声称自己是欧洲铁路公司工作人员的人员透露任何信息。该公司表示,一旦联系方式可用,将直接通知数据可能已被访问或泄露的客户。他们敦促客户警惕任何索取个人信息的可疑电话、电子邮件或短信,并强调欧洲铁路公司绝不会主动索取敏感数据。客户应更新其铁路规划应用程序的密码,检查相关的电子邮件、社交媒体或银行账户密码,监控账户是否存在异常活动,并将任何疑虑报告给银行。