Datenpanne bei Eurail: Persönliche Reisedaten im Darknet entdeckt

Europas legendärer Bahnpass steht vor einer Reise ganz anderer Art: Hacker drohen damit, 1,3 Terabyte an Passagierdaten zu versteigern.

Nachdem Eurail eine Mitteilung über eine Datenpanne veröffentlicht hatte, kursierten Drohungen von Cyberkriminellen, gestohlene Passagierdaten ins Netz zu stellen. In einem aktuellen Beitrag in einem einschlägigen Forum für Cyberkriminalität behauptete der Angreifer, über 1,3 Terabyte an Unternehmensdaten zu verfügen.

Den Angaben zufolge stammen die Daten aus den AWS-S3-, Zendesk- und GitLab-Systemen von Eurail. Die Angreifer behaupten außerdem, im Besitz personenbezogener Daten von Millionen Eurail-Kunden zu sein.

Angreifer werfen Eurail mangelnde Kooperationsbereitschaft vor

„Das Unternehmen habe die Verhandlungen abgebrochen, deshalb werde wir die Daten veröffentlichen", drohten die Angreifer und verwiesen Interessierte auf ihren Telegram-Kanal.

Auf dem Kanal versuchen die Angreifer jedoch, den gestohlenen Datensatz an den Meistbietenden zu verkaufen. Sollte sich kein Käufer finden, drohen sie erneut damit, die Daten öffentlich zugänglich zu machen.

Die Angreifer behaupten, der gestohlene Datensatz umfasse insgesamt 100 Millionen Zeilen an Rohdaten. Um ihre Behauptungen zu untermauern, luden sie mehrere Datenproben auf ihren Telegram-Kanal hoch, die das Rechercheteam von Cybernews untersucht hat.

Die Proben enthielten eine mutmaßliche Bestandsaufnahme der Dateien im Besitz der Angreifer, einschließlich der jeweiligen Datenspalten sowie 50 Einträge aus jeder der fünf aufgeführten Dateien. Teile der Daten scheinen rund fünf Jahre alt zu sein, während andere Einträge aus Ende 2025 stammen.

Auszüge aus den Dateien umfassen:

• Vollständige Namen
• Ausweisnummern
• Adressen
• Kontaktdaten
• Geburtsdaten und -Orte
• Details zu erworbenen Eurail-/InterRail-Pässen

„Man könne den tatsächlichen Umfang des vollständigen Datensatzes nicht mit Sicherheit bestätigen, da die Stichproben zahlenmäßig recht gering seien. Für die Betroffenen bestehe jedoch ein erhebliches Risiko von Identitätsdiebstahl, Betrug und Social-Engineering-Angriffen", erklärten die Forscher von Cybernews.

Eurail bestätigt „Vorfall im Bereich der Datensicherheit"

In einer zunächst im Januar veröffentlichten Mitteilung räumte Eurail ein, dass ein „Vorfall im Bereich der Datensicherheit" in seinen Interrail-Systemen zu einem unbefugten Zugriff auf Kundendaten geführt habe.

„Erste Untersuchungen deuteten darauf hin, dass die abgerufenen Daten Bestell- und Reservierungsinformationen von Kunden umfassen könnten, darunter grundlegende Identitäts- und Kontaktdaten sowie gegebenenfalls Angaben zu Mitreisenden", schrieb das Unternehmen.

Eurail räumte zudem ein, dass in einigen Fällen auch Passdaten gestohlen worden sein könnten. Dazu zählen die Reisepassnummer, das Ausstellungsland sowie das Ablaufdatum, die von Fahrkartenkontrolleuren zur Identitätsprüfung des Pass-Inhabers verwendet werden.

Am 13. Februar veröffentlichte das Unternehmen ein Update, in dem es die jüngsten Drohungen der Angreifer bestätigte.

„Eurail B.V. habe bestätigt, dass bestimmte Kundendaten, die von dem zuvor gemeldeten Sicherheitsvorfall betroffen seien, im Darknet zum Verkauf angeboten und ein Beispieldatensatz auf Telegram veröffentlicht worden sei. Man untersuche weiterhin das Ausmaß und die Auswirkungen des Vorfalls", heißt es in dem Update.

Eurail zufolge gibt es derzeit keine Hinweise darauf, dass die Daten missbraucht oder öffentlich zugänglich gemacht wurden. Die Zahl der betroffenen Kunden sei zum jetzigen Zeitpunkt noch unklar.

Eurail rät Betroffenen, die Passwörter für ihre E-Mail-, Social-Media- und Bankkonten zu ändern. Zudem empfiehlt das Unternehmen, wachsam gegenüber Phishing-Versuchen zu bleiben und das eigene Bankkonto aufmerksam auf ungewöhnliche Transaktionen zu überwachen.

Eurail B.V. ist ein niederländisches Unternehmen, das den Eurail Pass verwaltet und vertreibt, mit dem internationale Reisende Europa per Bahn mit einem einzigen Ticket erkunden können.

In Zusammenarbeit mit Dutzenden Bahn- und Fährpartnern bietet das Unternehmen Zugang zu mehr als 250.000 Kilometern Schienennetz in über 33 europäischen Ländern. Im Jahr 2024 verzeichnete das Unternehmen ein Rekordwachstum und verkaufte weltweit über 1,2 Millionen Eurail- und Interrail-Pässe.

Scharfe Kritik von Eurail-Kunden

Nachdem die Datenpanne bekannt geworden war, machten sich auf Reddit schnell Wut und Skepsis breit. Eurail-Kunden forderten das Unternehmen dort zur Rechenschaft auf.

„Man solle mir beim nächsten Mal als Entschädigung einen Gratispass geben", schrieb ein Nutzer.

„Und wo bleibt die Entschädigung?", fragte ein anderer.

Einige forderten mehr Transparenz über das Ausmaß des Datenlecks.

„Ich möchte wissen, wer auf meine Daten zugegriffen hat, zumindest aus welchem Land oder welcher Region, und ich fordere eine Form der Entschädigung", schrieb ein Reddit-Nutzer, der mehr Klarheit und eine detailliertere Offenlegung verlangte.

Für manche war die Sorge zutiefst persönlich.

„Ich bin jetzt natürlich sehr beunruhigt, weil wie bei anderen hier ALLE meine wichtigen Daten auf einen Schlag gestohlen wurden, wobei die Passdaten die größte Sorge bereiten. Ich frage mich, ob wir unsere Reisepässe sperren lassen und neue beantragen sollten", sagte ein Nutzer und verwies auf die Angst vor Identitätsmissbrauch.

Andere kritisierten die aus ihrer Sicht unzureichenden Handlungsempfehlungen.

„Was sollen wir jetzt tun? Außer ‚Achtet auf Phishing-Mails!' gab es keinerlei Hinweise. Im Ernst? Das ist unfassbar besorgniserregend."

Der Vorfall regte auch zu grundsätzlichen Überlegungen zum Umgang mit persönlichen Daten an.

„Es ist eine traurige Erinnerung daran, persönliche Daten nach der Nutzung solcher Dienste per DSGVO-Antrag löschen zu lassen", merkte ein weiterer Reddit-Nutzer an.

---

Entdecke mehr Cybernews-Inhalte auf YouTube.