Rail Europe North America (RENA), een bedrijf dat Amerikanen treintickets aanbiedt om door Europa te reizen, is getroffen door een datalek waarbij de gegevens van een onbekend aantal gebruikers mogelijk zijn gestolen. Het bedrijf werd op 16 februari door een bank ingelicht, zo blijkt uit een verklaring (pdf).

Dezelfde dag ontdekte RENA dat een aanvaller van 29 november vorig jaar tot en met 16 februari ongeautoriseerde toegang tot de website en webservers had. Daarbij zijn mogelijk persoonlijke gegevens gestolen, zoals namen, geslacht, adresgegevens, telefoonnummers, e-mailadressen, creditcardnummers, verloopdatum en CVV-code en in sommige gevallen ook gebruikersnamen en wachtwoorden van klanten die een account op de RENA-website aanmaakten.

Het bedrijf zegt dat het dit jaar 1,7 miljoen mensen door Europa laat reizen. Na ontdekking van de hack heeft RENA naar eigen alle gecompromitteerde systemen vervangen en herbouwd, zijn wachtwoorden op alle systemen en voor alle applicaties vervangen, certificaten vernieuwd en beveiligingscontroles aangescherpt. Getroffen klanten hebben recht op kredietmonitoring en identiteitsbeschermingsdiensten. Hoe de aanvallers toegang tot de website en webservers kregen is niet bekendgemaakt, alsmede het aantal getroffen klanten.