W wyniku cyberataku na systemy firmy Eurail doszło do wycieku danych osobowych około 300 000 użytkowników Interrail w całej Europie. Jak wynika z ustaleń, hakerzy uzyskali dostęp do wrażliwych informacji obejmujących m.in. imiona i nazwiska, adresy e-mail, numery telefonów, adresy zamieszkania, daty urodzenia oraz – w wielu przypadkach – numery paszportów. Dlatego wiele wskazuje na to, że 300 000 osób musi zmienić dokumenty w trosce o własne bezpieczeństwo.
Skopiowane dane pojawiły się wystawione na sprzedaż w dark webie. Natomiast ich fragmenty pojawiły się również w komunikatorze Telegram. Skala incydentu sprawiła, że sprawa wywołała szeroką debatę w Europie na temat bezpieczeństwa danych w usługach turystycznych. Ważna jest kwestia odpowiedzialności firm przetwarzających dokumenty podróżnych.
300 000 osób musi zmienić dokumenty. Ryzyko kradzieży tożsamości i oszustw
Eksperci ds. cyberbezpieczeństwa ostrzegają, że zestaw danych obejmujący podstawowe informacje osobowe oraz numery dokumentów podróży może zostać wykorzystany do kradzieży tożsamości, wyłudzeń finansowych, a także prób podszywania się pod poszkodowanych.
Szczególnie niebezpieczne jest połączenie danych kontaktowych z informacjami identyfikacyjnymi. Dlatego, że daje ono przestępcom możliwość tworzenia wiarygodnych ataków phishingowych, fałszywych wezwań urzędowych czy prób przejęcia kont bankowych.
W niektórych przypadkach brytyjskie i europejskie instytucje zaczęły zalecać nawet wymianę paszportów, jeśli ich numery znalazły się w wycieku. To wiąże się z dodatkowymi kosztami i procedurami administracyjnymi.
Koszty dla poszkodowanych i spór o odpowiedzialność
Dla wielu podróżnych oznacza to konieczność przejścia pełnej procedury wymiany dokumentów. W tym przypadku na własny koszt. W Wielkiej Brytanii opłata za nowy paszport wynosi ponad 100 funtów. Natomiast w innych krajach europejskich koszty mogą być jeszcze wyższe.
To wywołuje rosnącą frustrację i pytania o odpowiedzialność firmy. Poszkodowani wskazują, że to oni ponoszą konsekwencje naruszenia bezpieczeństwa, mimo że nie mieli wpływu na sposób zabezpieczenia danych.
Część użytkowników powołuje się na przepisy RODO (GDPR), w tym możliwość dochodzenia odszkodowania za naruszenie ochrony danych osobowych. Jednak w praktyce procesy te mogą być długotrwałe i skomplikowane.
300 000 osób musi zmienić dokumenty. Czy wśród poszkodowanych są Polacy?
Choć Eurail nie opublikował pełnej listy krajów, których obywatele zostali dotknięci wyciekiem, wiadomo, że wiele osób w Europie korzysta z usług przewoźnika. Również osoby z Polski.
Polacy podróżujący po Europie koleją, studenci korzystający z programów wymiany oraz osoby mieszkające w Wielkiej Brytanii i innych krajach UE mogli znaleźć się wśród poszkodowanych. W praktyce oznacza to, że część danych należących do obywateli Polski również mogła zostać przejęta przez przestępców.
Szerszy problem bezpieczeństwa danych w branży turystycznej
Incydent z Eurail wpisuje się w rosnący trend cyberataków na firmy z sektora turystycznego i transportowego. Organizacje te przechowują ogromne ilości danych osobowych. Dlatego są tak atrakcyjnym celem dla cyberprzestępców.
Eksperci podkreślają, że branża musi inwestować nie tylko w zabezpieczenia techniczne. Ważne jest również szybsze wykrywanie incydentów i ograniczanie zakresu przechowywanych danych.
