Over en million mennesker indtastede deres pasnummer for at købe en togbillet til Europa. I januar blev firmaet bag hacket. I februar lå det hele til salg på dark web.
1,2 millioner pas solgt. Nu er dataene lækket.
En stor europæisk togbillet-udbyder står bag rejsepas til togrejser i 33 europæiske lande. I 2023 solgte de over 1,2 millioner pas.
Den 10. januar 2026 offentliggjorde firmaet, at hackere havde fået adgang til deres kundedatabase. En måned senere bekræftede de, at stjålne data var sat til salg, med prøver publiceret på Telegram. Forhandlinger med hackerne var brudt sammen.
Hackerne hævder at have 1,3 terabyte data. Sikkerhedsanalytikere har gennemgået de database-filer, der er udbudt, og vurderer, at enkelte filer indeholder op til 17 millioner rækker.
Pasnumre kan ikke nulstilles
Almindelige kunder mistede navn, e-mail, telefonnummer og pasnummer. Det er slemt nok.
Men det værste ramte en anden gruppe.
EU-Kommissionen driver et program, der hvert år giver tusindvis af 18-årige en gratis togbillet gennem Erasmus+. I 2024 fik 467 danske unge en billet alene i første ansøgningsrunde.
Programmet kræver mere dokumentation end et almindeligt billetkøb. Og togbillet-udbyderen administrerer det.
Paskopier, IBAN, sundhedsdata
De unge afleverede kopier af deres pas. IBAN-kontonumre. Sundhedsdata.
EU-Kommissionen har selv bekræftet, at disse kategorier er kompromitteret.
Et password kan nulstilles. Et pasnummer kan ikke. Et IBAN-nummer skifter man ikke. Sundhedsdata forbliver relevant i årevis.
De her 18-årige kan leve med konsekvenserne resten af livet.
Fem år gamle data lå stadig der
Analyse af dataprøverne viser, at noget af det stjålne data er op til fem år gammelt.
Udbyderen opbevarede oplysninger fra rejser, der for længst var overstået.
Det er kernen i problemet. Ikke at de blev hacket. Men at de stadig havde data, de ikke længere havde brug for.
Hvem opbevarer hvad om jeres medarbejdere?
Det handler ikke kun om rejser. Det handler om, hvem der opbevarer hvad om jeres medarbejdere, og hvor længe.
Jeres rejsebureau har paskopier. Jeres konferencearrangør har IBAN-numre. Jeres bookingplatform har adresser og fødselsdatoer.
Spørger I nogensinde, hvad der sker med de data bagefter?
Pasdata lækker fra uventede steder
I 2024 afslørede Version2, at Beredskabsstyrelsen selv havde lidt et databrud, der eksponerede paskopier og kørekort for 12.800 personer.
Pasdata er et højværdimål. Og det lækker fra steder, man mindst forventer det.
En togbillet-udbyder. En offentlig myndighed. En konferencearrangør. Alle har de til fælles, at de indsamlede identitetsdokumentation og beholdt den længere end nødvendigt.
Tre ting du bør gøre nu
Kortlæg hvilke tredjeparter der opbevarer jeres medarbejderes identitetsdokumentation. Rejsebureauer, bookingplatforme, konferencearrangører, visumtjenester. Kræv svar på, hvad der gemmes, hvor længe, og hvem der har adgang.
Kræv sletning efter brug. Paskopier, der blev afleveret til en konference i 2022, bør ikke ligge i en database i 2026. Dataminimering er ikke bare GDPR-teori. Det er jeres bedste forsvar mod fremtidige brud.
Stil de samme sikkerhedsspørgsmål til jeres rejseleverandører som til jeres IT-leverandør. Kryptering, adgangskontrol, sletningspolitik, notifikationsklausul og audit-ret i kontrakten. Hvis de ikke kan svare, bør I overveje, om de skal have jeres data.
Dataminimering er forsvar
Jo færre data, jo mindre kan lækkes. Jo kortere opbevaringstid, jo mindre skade ved et brud.
Togbillet-udbyderen havde data fra fem år tilbage. Det var ikke nødvendigt. Det var bare bekvemt. Og nu betaler over en million mennesker prisen.
Få styr på jeres tredjeparters datahåndtering
Et leverandøraudit kortlægger, hvilke tredjeparter der opbevarer jeres medarbejderes identitetsdokumentation, og om de gør det forsvarligt.
En cybersikkerhedsaudit giver jer det samlede billede af jeres sikkerhedsposition, inklusiv de leverandører og partnere, I deler følsomme data med.
Og uvildig IT-rådgivning hjælper jer med at formulere konkrete krav om sletning, kryptering og notifikation i jeres leverandøraftaler.
Et pasnummer kan ikke nulstilles. Ved I, hvem der stadig har jeres medarbejderes?
Har du brug for at kortlægge jeres tredjeparters datahåndtering?
Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
