Uma interrupção grave na segurança de uma empresa que liga os passageiros às redes ferroviárias europeias deixou a descoberta de informações muito sensíveis de centenas de milhares de pessoas. A operadora neerlandesa que comercializa os passes Interrail e Eurail confirmou que, após uma intrusão detectada em dezembro de 2025, os atacantes conseguiram extrair dados pessoais de uma parte importante da sua base de clientes.
De acordo com a notificação enviada posteriormente às pessoas afetadas, os intrusos conseguiram transferir arquivos da rede da empresa no final de dezembro e, após revisar esses arquivos no final de fevereiro de 2026, a empresa identificou que continham dados pessoais. Numa comunicação dirigida aos clientes e às autoridades, foi especificado que o volume de pessoas em causa ascende a mais de 300.000 pessoas; numa apresentação junto das autoridades dos Estados Unidos, o número assinalado foi de 308.777 registos potencialmente comprometidos. Você pode consultar essa notificação publicada no site do Ministério Público da Califórnia aqui: Eurail — notificação a afetados (PDF).
Os tipos de dados envolvidos tornam o fosso particularmente preocupante. Além de nomes e dados de contato, os arquivos revisados contêm números de documentos de identidade e passaportes, IBANs bancários e, em alguns casos, informações médicas. A própria Comissão Europeia, que acompanhou a afectação de jovens que receberam passes através do programa DiscoverEU, avisou que, para aqueles que entraram nessa via, a exposição pôde incluir dados de saúde e outros elementos sensíveis; o alerta oficial está disponível no portal da DiscoverEU: Informação da Comissão sobre o incidente e o seu impacto na DiscoverEU.
A divulgação pública do incidente também foi seguida pelo surgimento de uma amostra de dados em canais de mensagens e por tentativas de comercialização em fóruns clandestinos. O Eurail informou seus clientes que os atores maliciosos compartilharam exemplos do material roubado no Telegram e que estavam tentando vender conjuntos de dados na chamada "dark web".
Embora a empresa afirme que certos elementos, como cópias de passaporte ou informações financeiras completas, não estavam armazenados nos sistemas comprometidos, a natureza e a variedade dos campos expostos implicam riscos reais de fraude e suplantação. Com números de documento, nomes completos e contatos nas mãos de terceiros, o perigo de campanhas de phishing altamente direcionadas e tentativas de fraude bancária aumenta consideravelmente.
O que as pessoas podem fazer? A empresa recomendou medidas imediatas como rever transações bancárias e avisar o banco a qualquer movimento suspeito, alterar a senha da aplicação Rail Planner e não reutilizar essa senha em outros serviços. Também é prudente extremar a precaução aos e-mails, chamadas ou mensagens não solicitadas para solicitar informações adicionais ou links para “verificar” dados. Para aqueles que querem ampliar e contrastar informações sobre incidentes semelhantes ou verificar se o seu correio aparece em vazamentos públicos, serviços públicos como Have I Been Pwned É útil, e a Agência da União Europeia para a Cibersegurança (ENISA) publica orientações práticas sobre como reagir a lacunas de dados: ENISA — recursos e recomendações.
No plano regulamentar, incidentes deste tamanho obrigam as empresas a informarem as autoridades competentes e os interessados e a reverem os seus controlos internos. A legislação europeia de protecção de dados (e a sua aplicação prática sob o Regulamento Geral de Proteção de Dados) impõe obrigações de notificação e remédio que devem ser cumpridas com diligência; para quem quiser consultar o quadro legal e os seus direitos, a Comissão Europeia fornece informações básicas sobre a protecção de dados: Quadro de protecção de dados da UE.
Este incidente não ocorre no vazio: nas últimas semanas foram vistos outros ataques de alto perfil contra organismos e plataformas europeias, o que coloca a segurança da informação no centro do debate público. Embora cada lacuna tenha as suas particularidades, a tendência de intervenientes que exfiltram grandes volumes de dados e depois os difundem ou vendem sublinha a necessidade de controlos mais robustos, detecção precoce e respostas coordenadas entre empresas e autoridades.
Para os viajantes que dependem de passes e plataformas digitais, a lição vai além de mudar senhas: É imperativo exigir transparência aos fornecedores, exigir explicações sobre o que aconteceu e que medidas correctivas foram implementadas, e estar atentos a possíveis consequências a médio prazo, como tentativas de fraude de identidade ou roubo financeiro. As autoridades de consumo e de protecção de dados também são canais para denunciar e receber orientação; nos Estados Unidos, por exemplo, os gabinetes de advogados gerais do Estado publicam instruções para notificações de lacunas e recursos para afectados, e na UE as agências nacionais de protecção de dados cumprem funções equivalentes.
Se você foi usuário do Eurail ou recebeu um passe através de DiscoverEU e suspeita que sua informação pode ser afetada, revisa a comunicação oficial da empresa e a documentação das autoridades acima citadas, e considera medidas adicionais como ativar notificações nas suas contas bancárias, avaliar a criação de alertas de fraude e, em casos extremos, falar com sua entidade financeira sobre bloqueios temporários ou supervisão reforçada. Manter a calma e agir com prudência informada continua a ser a melhor defesa perante este tipo de incidentes.
Para informações oficiais e mensagens atualizadas da própria operadora e de organismos europeus, revisa o site de Eurail e os comunicados da Comissão e de agências de cibersegurança citadas neste artigo. A investigação do incidente e as medidas de mitigação continuarão a ser implementadas nos próximos meses e é conveniente manter-se informado através de fontes fiáveis.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...