Honderdduizenden mensen in heel Europa zijn getroffen sinds een cyberaanval op Eurail in december gevoelige persoonlijke gegevens van meer dan 300.000 klanten blootlegde, die nu naar verluidt te koop worden aangeboden op het dark web, waarbij verschillende regeringen hen adviseren hun paspoorten te annuleren en te vervangen, meldde The Guardian woensdag.

Het in Nederland gevestigde bedrijf, dat Interrail-passen verkoopt voor treinreizen door Europa, bevestigde dat gegevens die tijdens de inbreuk zijn gestolen – waaronder paspoortnummers, namen, contactgegevens, woonadressen en geboortedata – online zijn opgedoken, waarbij een voorbeelddataset ook op Telegram is gedeeld.

Voorkomen van frauduleuze activiteiten

Autoriteiten in sommige landen zijn al begonnen met het geven van voorzorgsmaatregelen. Het Britse Passport Office adviseerde ten minste één getroffen persoon om zijn paspoort te annuleren “om te voorkomen dat het voor frauduleuze activiteiten wordt gebruikt”, terwijl het ook de volledige vervangingskosten in rekening bracht, aldus The Guardian.

Soortgelijke maatregelen zijn gemeld in Denemarken, waar getroffen reizigers mogelijk met nog hogere vervangingskosten worden geconfronteerd.

“Regelrechte nachtmerrie”

Deze ontwikkeling heeft bij klanten tot frustratie en ongerustheid geleid; velen van hen weten niet precies hoe groot het risico is. “Het is een regelrechte nachtmerrie”, aldus een getroffen reiziger in de krant, die eraan toevoegde dat de situatie hem “behoorlijk van slag heeft gebracht” nu de zomervakantie nadert.

Anderen vroegen zich af of het vervangen van paspoorten wel nodig is zonder duidelijker officiële richtlijnen. “Ik heb echt geen idee hoe ernstig dit is”, zei een andere klant, die om compensatie vroeg voor het geval vervanging noodzakelijk zou blijken.

Eurail heeft gebruikers toch aangespoord om voorzorgsmaatregelen te nemen, waaronder het in de gaten houden van verdachte berichten, het bijwerken van wachtwoorden op alle platforms en het beveiligen van financiële rekeningen, aldus de krant. “We nemen de beveiliging van uw gegevens serieus en betreuren de ongerustheid die dit incident kan veroorzaken”, aldus het bedrijf.

Mogelijke juridische stappen

Sommige klanten blijven echter kritisch over de reactie van het bedrijf. “Ze hebben de veiligheid van mijn gegevens niet serieus genomen, en wat is het nut van die spijtbetuiging?”, zei een getroffen reiziger, die zijn bezorgdheid uitte over mogelijk misbruik van zijn identiteit.

Op online forums zijn ook oproepen verschenen tot collectieve juridische stappen, waarbij sommige gebruikers verwijzen naar het recht op schadevergoeding op grond van de Algemene Verordening Gegevensbescherming (AVG) van de EU.

Eurail verklaarde dat het doorgaat met het informeren van getroffen personen en benadrukte dat degenen van wie de gegevens in het gelekte bestand voorkwamen, al zijn benaderd. Het bedrijf voegde eraan toe dat het beperken van risico's voor klanten een prioriteit blijft naarmate de situatie zich ontwikkelt.