Eurail hacklendi

Eurail bugün tüm kullanıcılarına gönderdiği mail ile hacklendiğini duyurdu.
Kullanıcı verileri Hackerlerin eline geçti.
Olaydan İnterrail kullanıcıları, Eurail kullanıcıları ve DiscoverEU kazananları etkilenmektedir.

Mail:
Başlık:
Important: Security incident potentially involving your personal data

İçerik:


View in browser


Dear DiscoverEU participant,



Eurail B.V., as the contractor and personal data processor responsible for implementing the DiscoverEU action, regrets to inform you about a security incident involving Eurail IT systems. Eurail is sending you this message on behalf of the European Commission’s Directorate-General for Education, Youth, Sport and Culture and the European Education and Culture Executive Agency (EACEA), which act as joint data controllers for the DiscoverEU action of the Erasmus+ programme. The controllers are responsible for the protection of your personal data, in accordance with the applicable data protection legal framework.



An unauthorised party gained access to part of Eurail's customer database through a cyberattack. This means that someone outside Eurail has been able to access certain customer details, including those of DiscoverEU participants.



General information on this incident has been published on the European Youth Portal and Eurail’s website on 10 January 2026.



Following the discovery of this security incident, Eurail immediately began work to secure the systems and initiated an investigation with the support of external cybersecurity specialists. The ongoing investigation will provide more information about the precise categories of personal data which are involved.



Eurail, as well as the European Commission and EACEA, take this matter very seriously, and are currently conducting a thorough investigation to determine the full scope of the issue and its potential impact on the protection of your personal data. We will continue to provide you with relevant information about the breach and the measures taken, once they will become available during the investigation.





What does this mean for you?

Although Eurail’s investigation is still ongoing, the first results indicate that your personal data have been accessed. These may include:

Identity information: first name, last name, date of birth, gender;
Contact information: email address, country of residence, and telephone number (if provided);
Passport information: passport number, country of issuance and expiration date (not including copies of the documents).
If you have provided the following information to the Eurail Helpdesk, where Eurail is the processor, these data categories may also be affected:

Bank account reference (IBAN);
Data concerning health and special needs submitted to the support assistance with travel;
Passport/ID photocopies.
At this time, we have no evidence that your data has been specifically misused or publicly shared. This is being monitored by Eurail’s external cybersecurity specialist on a continuous basis.



Please note that the system employed for the identity verification at the booking stage (the controller and processor in this case is Eurail) was not affected by the incident. Therefore, copies of Passport/IDs may be affected only if you shared these with the Eurail Helpdesk in the context of a support request that you addressed to Eurail.



Preventing and limiting negative consequences for you is our highest priority. Therefore, in addition to informing you about the incident, we would like to provide you with guidance on what to do if you suspect your personal data is being misused.



Criminals may attempt to misuse your data, for example for identity theft or to impersonate you or access other accounts and data. The data may also be used for the purposes of impersonating banks. You may also be the subject of phishing attempts or spamming. Therefore, we advise you to be very attentive, and not to share personal information with new contacts who approach you in the framework of the DiscoverEU action, or Eurail B.V., unless you are sure of their authenticity.



The general recommendations in data breach cases are also to change passwords linked to your email address, social media, and banking for example, and equally to pay particular attention to any unusual transactions in your bank account and report them to your bank immediately.






More information regarding personal data breaches related to European institutions can be found on the European Data Protection Supervisor's website.

What Eurail, the European Commission and EACEA are doing

Eurail has secured their systems and is currently:

working with external cybersecurity specialists;
continuing a detailed investigation into the incident;
informing the relevant supervisory and law enforcement authorities on a constant basis, as required by law.
The European Commission is conducting its own investigation and working with the European Data Protection Supervisor and EACEA to ensure all possible measures are taken to minimise the potential impact of the incident.

Further information and contact

We take the security of your data seriously and regret any concern this incident may cause. We will inform you once we have more information about this incident, insofar as our investigation shows particular consequences for you.



The Directorate-General for Education, Youth, Sport and Culture (DG EAC) is the primary contact point in the European Commission for affected users of DiscoverEU.



Email: EAC-DiscoverEU-Security@ec.europa.eu.



The European Data Protection Supervisor was notified about the personal data breach in accordance with the obligations of the European Commission and EACEA under the applicable data protection legislation.



Affected data subjects have the right to address the Data Protection Officer of the European Commission, if they consider that their rights as data subject, which they have exercised with DG EAC and EACEA, are not being fully respected.




Name of the Data Protection Officer: Michelle Sutton

Email: DATA-PROTECTION-OFFICER@ec.europa.eu




Thank you for your understanding.



With kind regards,



Eurail, on behalf of the European Commission and EACEA as joint data controllers


Türkçe:
Başlık:
Önemli: Kişisel verilerinizi etkileyebilecek bir güvenlik sorunu.

İçerik:




Sevgili DiscoverEU katılımcısı,



Eurail BV, DiscoverEU faaliyetinin uygulanmasından sorumlu yüklenici ve kişisel veri işleyicisi olarak, Eurail BT sistemlerini ilgilendiren bir güvenlik olayı hakkında sizi bilgilendirmekten üzüntü duyar. Eurail, bu mesajı, Erasmus+ programının DiscoverEU faaliyeti için ortak veri sorumlusu olarak hareket eden Avrupa Komisyonu Eğitim, Gençlik, Spor ve Kültür Genel Müdürlüğü ve Avrupa Eğitim ve Kültür Yürütme Ajansı (EACEA) adına size iletmektedir. Veri sorumluları, geçerli veri koruma yasal çerçevesine uygun olarak kişisel verilerinizin korunmasından sorumludur.



Yetkisiz bir taraf, siber saldırı yoluyla Eurail'in müşteri veri tabanının bir bölümüne erişim sağladı. Bu, Eurail dışından birinin, DiscoverEU katılımcıları da dahil olmak üzere bazı müşteri bilgilerine erişebildiği anlamına geliyor.



Bu olayla ilgili genel bilgiler 10 Ocak 2026 tarihinde Avrupa Gençlik Portalı'nda ve Eurail'in internet sitesinde yayınlanmıştır.



Bu güvenlik olayının keşfedilmesinin ardından Eurail, sistemlerin güvenliğini sağlamak için derhal çalışmalara başladı ve dış siber güvenlik uzmanlarının desteğiyle bir soruşturma başlattı. Devam eden soruşturma, söz konusu kişisel verilerin kesin kategorileri hakkında daha fazla bilgi sağlayacaktır.



Eurail, Avrupa Komisyonu ve EACEA bu konuyu çok ciddiye almaktadır ve sorunun tam kapsamını ve kişisel verilerinizin korunması üzerindeki potansiyel etkisini belirlemek için kapsamlı bir soruşturma yürütmektedir. Soruşturma sırasında elde edilecek bilgiler doğrultusunda, ihlal ve alınan önlemler hakkında sizi bilgilendirmeye devam edeceğiz.

Bu sizin için ne anlama geliyor?

Eurail'in soruşturması halen devam etse de, ilk sonuçlar kişisel verilerinize erişildiğini gösteriyor. Bunlar şunları içerebilir:

Kimlik bilgileri: ad, soyad, doğum tarihi, cinsiyet;
İletişim bilgileri: e-posta adresi, ikamet edilen ülke ve telefon numarası (verilmişse);
Pasaport bilgileri: pasaport numarası, verildiği ülke ve geçerlilik tarihi (belgelerin fotokopileri hariç).
Eurail'in veri işlemcisi olduğu durumlarda, Eurail Yardım Masasına aşağıdaki bilgileri sağladıysanız, bu veri kategorileri de etkilenebilir:

Banka hesap referansı (IBAN);
Seyahat desteğine ilişkin sunulan sağlık ve özel ihtiyaçlara dair veriler;
Pasaport/Kimlik fotokopileri.
Şu an itibariyle, verilerinizin özellikle kötüye kullanıldığına veya kamuya açık olarak paylaşıldığına dair herhangi bir kanıtımız bulunmamaktadır. Bu durum, Eurail'in harici siber güvenlik uzmanı tarafından sürekli olarak izlenmektedir.



Lütfe?n rezervasyon aşamasında kimlik doğrulama için kullanılan sistemin (bu durumda denetleyici ve işlemci Eurail'dir) olaydan etkilenmediğini unutmayın. Bu nedenle, pasaport/kimlik belgelerinizin kopyaları yalnızca Eurail'e ilettiğiniz bir destek talebi kapsamında Eurail Yardım Masası ile paylaşmış olmanız durumunda etkilenebilir.



Sizin için olumsuz sonuçları önlemek ve sınırlamak en büyük önceliğimizdir. Bu nedenle, sizi olay hakkında bilgilendirmenin yanı sıra, kişisel verilerinizin kötüye kullanıldığından şüphelenmeniz durumunda ne yapmanız gerektiği konusunda size rehberlik etmek istiyoruz.



Suçlular, verilerinizi kötüye kullanmaya çalışabilir; örneğin kimlik hırsızlığı, sizin kimliğinize bürünme veya diğer hesaplara ve verilere erişme amacıyla kullanabilirler. Veriler ayrıca bankaları taklit etme amacıyla da kullanılabilir. Ayrıca kimlik avı girişimlerine veya istenmeyen e-postalara maruz kalabilirsiniz. Bu nedenle, çok dikkatli olmanızı ve DiscoverEU kampanyası veya Eurail BV çerçevesinde sizinle iletişime geçen yeni kişilerle, kimliklerinden emin olmadığınız sürece kişisel bilgilerinizi paylaşmamanızı tavsiye ederiz.



Veri ihlali durumlarında genel tavsiyeler arasında, örneğin e-posta adresiniz, sosyal medya ve bankacılık hesaplarınızla bağlantılı şifrelerinizi değiştirmeniz ve banka hesabınızdaki olağandışı işlemlere özellikle dikkat ederek bunları derhal bankanıza bildirmeniz yer almaktadır.






Avrupa kurumlarıyla ilgili kişisel veri ihlallerine ilişkin daha fazla bilgiye Avrupa Veri Koruma Denetçisi'nin internet sitesinden ulaşılabilir.

Eurail, Avrupa Komisyonu ve EACEA'nın neler yaptığı

Eurail sistemlerinin güvenliğini sağladı ve şu anda durum şu şekildedir:

Dışarıdan siber güvenlik uzmanlarıyla çalışmak;
Olayla ilgili detaylı soruşturma devam ediyor;
Kanun gereği ilgili denetim ve kolluk makamlarını sürekli olarak bilgilendirmek.
Avrupa Komisyonu kendi soruşturmasını yürütüyor ve olayın potansiyel etkisini en aza indirmek için mümkün olan tüm önlemlerin alınmasını sağlamak amacıyla Avrupa Veri Koruma Denetçisi ve EACEA ile birlikte çalışıyor.

Daha fazla bilgi ve iletişim

Verilerinizin güvenliğini ciddiye alıyoruz ve bu olayın yol açabileceği herhangi bir endişeden dolayı üzgünüz. Soruşturmamız sizin için özel sonuçlar doğurabileceğini gösterirse, bu olay hakkında daha fazla bilgi edindiğimizde sizi bilgilendireceğiz.



Eğitim, Gençlik, Spor ve Kültür Genel Müdürlüğü (DG EAC), DiscoverEU'nun etkilenen kullanıcıları için Avrupa Komisyonu'ndaki birincil iletişim noktasıdır.



E-posta:

EAC-DiscoverEU-Security@ec.europa.eu.


Avrupa Veri Koruma Denetçisi, yürürlükteki veri koruma mevzuatı kapsamında Avrupa Komisyonu ve EACEA'nın yükümlülüklerine uygun olarak kişisel veri ihlali hakkında bilgilendirildi.



Veri sahipleri, DG EAC ve EACEA nezdinde kullandıkları veri sahibi haklarının tam olarak yerine getirilmediğini düşünmeleri halinde, Avrupa Komisyonu Veri Koruma Sorumlusuna başvurma hakkına sahiptirler.



Veri Koruma Sorumlusunun Adı: Michelle Sutton

E-posta: DATA-PROTECTION-OFFICER@ec.europa.eu



Anlayışınız için teşekkür ederim.



Saygılarımla,



Eurail, Avrupa Komisyonu ve EACEA adına ortak veri sorumlusu sıfatıyla hareket etmektedir.