Ifølge Eurail blev bruddet opdaget for nylig, hvorefter virksomheden straks tog foranstaltninger for at sikre sine systemer. En ekstern undersøgelse er blevet iværksat med støtte fra cybersikkerhed specialister for at afklare omfanget af bruddet og hvilke data der kan være blevet berørt. Hændelsen er også blevet rapporteret til de relevante databeskyttelsesmyndigheder i overensstemmelse med EU’s generelle forordning om databeskyttelse, GDPR.
Den foreløbige undersøgelse viser, at angriberen muligvis har fået adgang til personoplysninger såsom navn, kontaktoplysninger, fødselsdato og køn. Pasrelaterede oplysninger – såsom pasnummer, udstedelsesland og gyldighed – kan også have været tilgængelige i tilfælde, hvor kunderne har givet disse oplysninger. Der siges dog ikke at være inkluderet kopier af pas eller andre identitetsdokumenter.
Eurail oplyser, at der på nuværende tidspunkt ikke er bevis for, at dataene er blevet misbrugt eller formidlet offentligt. Virksomheden siger, at situationen løbende overvåges af eksterne sikkerhedseksperter, mens undersøgelsen pågår.
Det er endnu ikke klart, hvor mange kunder der kan være blevet berørt af bruddet. Ifølge Eurail kan både indehavere af Eurail- og Interrail-kort og deltagere i EU’s DiscoverEU-program blive berørt, men der er ikke blevet oplyst noget præcist antal.
Som en sikkerhedsforanstaltning anbefaler Eurail, at kunder ændrer deres adgangskoder til Rail Planner-appen og til andre konti, hvor de samme login oplysninger kan være blevet brugt, såsom e-mail, sociale medier og banktjenester. Virksomheden advarer også om risikoen for svindelforsøg og opfordrer kunderne til at være ekstra opmærksomme på uventede telefonopkald, e-mails eller sms’er, der anmoder om personlige oplysninger.