Vakantiegangers over de hele linie Europa worden geconfronteerd met de stress en de kosten van het verkrijgen van nieuwe paspoorten nadat hun persoonlijke gegevens op het dark web zijn geplaatst na een hack door Interrail-bedrijf Eurail.
In december werden persoonlijke gegevens, waaronder paspoortnummers, namen, telefoonnummers, e-mailadressen, thuisadressen en geboortedata van ruim 300.000 Europese reizigers geraadpleegd. Maar deze week onthulde Eurail aan klanten dat “gegevens die tijdens het beveiligingsincident zijn gekopieerd, te koop zijn aangeboden op het dark web en dat er een voorbeelddataset is gepubliceerd op Telegram”.
De aankondiging heeft tot hernieuwde woede en verwarring geleid. Groot-Brittannië Het paspoortkantoor heeft ten minste één klant verteld dat ze “hun paspoort moesten annuleren om te voorkomen dat het voor frauduleuze activiteiten zou worden gebruikt” en het ministerie van Binnenlandse Zaken heeft ook aangegeven dat ze de volledige vergoeding van £ 102 voor een vervanging zouden moeten betalen.
Een andere getroffen klant in Denemarken zei dat ze gedwongen waren hun paspoort te annuleren, waarbij de compensatie waarschijnlijk meer dan £ 200 zou kosten.
“Het is een absolute nachtmerrie”, zei een klant bij wie haar gegevens waren gehackt, net als een ander lid van haar vakantiegezelschap dat afgelopen zomer van Penzance naar Napels reisde. Ze zei dat het nieuws dat de gegevens te koop waren op het dark web ‘mij bang maakte’ en dat ze zich zorgen maakte over het op tijd krijgen van een nieuw paspoort voor haar zomerreisplannen.
‘Ik heb echt geen idee hoe ernstig dit is’, zei ze, en vroeg om anonimiteit. “Moet ik echt mijn geld aan dit alles uitgeven? Niemand wil £100 uitgeven als dat niet nodig is. Als het officiële advies is om een nieuw paspoort aan te schaffen, moet er een vorm van compensatie zijn.”
Eurail is het Nederlandse bedrijf dat Interrail-passen verkoopt die mensen gebruiken voor vakanties in heel Europa. Een zevendaagse pas, waarmee je in 33 landen van het noordelijkste puntje van Noorwegen naar de zuidkust van Turkije kunt reizen, kost € 286 voor mensen tot 28 jaar, € 381 voor 28- tot 59-jarigen en € 343 voor mensen van 60 jaar en ouder. Twee kinderen onder de 12 jaar reizen gratis mee met een volwassene.
Bij de 64-jarige Gerard Tubb, een voormalige televisiejournalist uit Yorkshire die vorig jaar Interrail-kaartjes had gekocht om met zijn vrouw naar Zuid-Frankrijk te reizen, werden zijn gegevens gestolen. Hij zei: “De zorg is wat mensen met die hoeveelheid informatie kunnen doen. Het lijkt ontzettend veel – alles om iemand ervan te overtuigen dat ik het ben.”
Eurail vertelde de getroffen klanten deze week dat ze “extra waakzaam moeten blijven voor onverwachte of verdachte telefoontjes, e-mails of sms-berichten waarin om persoonlijke informatie wordt gevraagd” en dat ze het wachtwoord moeten bijwerken dat ze gebruiken om toegang te krijgen tot de Rail Planner-app en om e-mail-, sociale media- en bankwachtwoorden te wijzigen.
“We nemen de veiligheid van uw gegevens serieus en bieden onze excuses aan voor de zorgen die dit incident kan veroorzaken”, aldus de verklaring.
Maar Tubb zei: “Ze namen de veiligheid van mijn gegevens niet serieus, en wat is de waarde van de verontschuldiging? Wie gaat de stukken oppakken als iemand dat materiaal gebruikt?”
Schrijven op Redditzei een andere getroffen klant: “Ik ben momenteel een uitwisselingsstudent in een ander land, dus ik kan niet eens een nieuw paspoort krijgen, dus ik ben bang.” Een ander zei: “Is er een manier waarop we collectief kunnen samenkomen om compensatie te krijgen. In ieder geval compensatie om een nieuw paspoort te krijgen zou leuk zijn.”
Eén gebruiker zei dat hij naar de CEO van Eurail in Nederland had geschreven en compensatie eiste op grond van artikel 82 van de Algemene Verordening Gegevensbescherming (AVG).
Eurail zei dat het nog steeds bezig was met het informeren van getroffen klanten, maar zei dat al degenen wier gegevens in de voorbeelddataset op Telegram stonden, op de hoogte waren gebracht.
“Het voorkomen en beperken van eventuele gevolgen voor onze klanten blijft onze hoogste prioriteit”, aldus een woordvoerder. “Als onderdeel van onze reactie adviseren we klanten om waakzaam te blijven voor verdachte communicatie, hun wachtwoorden bij te werken en hun accounts te controleren op ongebruikelijke activiteiten. We verontschuldigen ons voor het eventuele ongemak dat dit incident kan veroorzaken en blijven ons inzetten voor de bescherming van de gegevens van onze klanten.”
De Kantoor aan huis zei dat de kosten voor het vervangen van een paspoort een zaak zouden zijn van de aanvrager en de derde partij die verantwoordelijk is voor eventuele inbreuk op hun persoonlijke gegevens.
“Als een paspoorthouder op de hoogte is gesteld van een datalek waarbij zijn paspoortgegevens betrokken zijn, blijft het aan hem of haar om te beslissen of hij dat paspoort wil vervangen”, aldus een woordvoerder. “Britse paspoorten bevatten moderne beveiligingstechnologieën om criminelen voor te blijven die zouden proberen ze te vervalsen of na te maken.”
