Eurail B.V. : fuite de données voyageurs
Eurail B.V., gestionnaire des pass Eurail/Interrail, a révélé en janvier 2026 une fuite touchant 308 777 voyageurs : identité, passeport et coordonnées exposés.
- Organisation
- Eurail B.V.
- Secteur
- Transport
- Pays
- Pays-Bas
- Date des faits
- Exfiltration fin décembre 2025 (vers le 24-26 décembre 2025) ; notifications clients dès le 13 janvier 2026
- Ampleur
- 308 777 voyageurs
- Vecteur
- Accès non autorisé aux systèmes informatiques / infrastructure cloud (vecteur initial non communiqué par Eurail). Un acteur malveillant a ultérieurement revendiqué le vol de 1,3 To depuis des instances AWS S3, Zendesk et GitLab (allégation non confirmée).
- Données exposées
- Nom et prénom, Date de naissance / âge, Adresse e-mail, Adresse postale et pays de résidence, Numéro de téléphone, Numéro de passeport / pièce d'identité (pays et date d'expiration), Photocopies de passeport/ID (participants DiscoverEU), Référence de compte bancaire IBAN (participants DiscoverEU), Données de santé (participants DiscoverEU)
Eurail B.V., société basée à Utrecht (Pays-Bas) qui commercialise les pass ferroviaires Eurail et Interrail, a rendu publique le 10 janvier 2026 une fuite de données affectant ses voyageurs. Les notifications individuelles aux clients ont débuté le 13 janvier 2026. Selon les éléments rapportés, l’exfiltration de fichiers serait survenue fin décembre 2025. Des dépôts réglementaires ultérieurs (notamment auprès de procureurs généraux d’États américains) ont chiffré l’incident à 308 777 personnes concernées, des voyageurs européens et internationaux.
Les données compromises incluent, pour l’ensemble des personnes touchées : nom et prénom, date de naissance ou âge, adresse e-mail, adresse postale et pays de résidence, numéro de téléphone, ainsi que le numéro de passeport ou de pièce d’identité avec son pays et sa date d’émission/expiration. Pour les participants au programme DiscoverEU (initiative Erasmus+ de la Commission européenne), des données supplémentaires seraient concernées : photocopies de passeport/ID, référence de compte bancaire (IBAN) et données de santé. Eurail a indiqué ne pas stocker de coordonnées bancaires de paiement ni de copies visuelles de passeport pour ses clients directs.
L’incident concerne directement des données de personnes résidant dans l’Union européenne, dont la France : Eurail/Interrail opère sur plus de trente pays européens et le volet DiscoverEU couvre l’ensemble de l’UE. La violation a été notifiée à l’autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens) au titre du RGPD, tandis que le Contrôleur européen de la protection des données (CEPD/EDPS) a été informé pour le volet relevant de la Commission européenne (DiscoverEU).
Eurail n’a pas communiqué le vecteur initial de l’intrusion, indiquant avoir corrigé la vulnérabilité, réinitialisé les identifiants et renforcé ses contrôles de sécurité. Mi-février 2026, la société a confirmé qu’une partie des données avait été mise en vente sur le dark web et qu’un échantillon avait été publié sur Telegram. Un acteur malveillant a par ailleurs revendiqué le vol d’environ 1,3 To de données depuis des instances cloud (AWS S3, Zendesk, GitLab) ; cette ampleur reste une allégation non confirmée par l’organisation à ce stade.
Sources
- SecurityWeek · 300,000 People Impacted by Eurail Data Breach
- The Register · Passports, bank details compromised in Eurail data breach
- Help Net Security · Sensitive data of Eurail, Interrail travelers compromised in data breach
- European Youth Portal · UPDATED: Data Security Incident affecting DiscoverEU travellers
- Security Affairs · Eurail data breach impacted 308,777 people