Estis la 26-a de decembro 2025. Dum la resto de Eŭropo digestis sian kristnaskan vespermanĝon kaj demandis al si, ĉu ili vere bezonas plian pecon da cinamstelo, iu alia estis pli laborema. Neaŭtorizita aganto aliris la reton de Eurail kaj translokigis dosierojn de la sistemoj - daŭris du plenajn monatojn antaŭ ol la kompanio eĉ komprenis, kion tiuj dosieroj enhavis.k
Du monatoj. Sesdek tagoj. Dum ĉi tiu tempo, la datumoj estis analizitaj, taksitaj kaj ofertitaj por vendo. Kaj la trafitaj klientoj? Ili sidis sensuspekte hejme, eble mendante sian sekvan Interrail-vojaĝon, antaŭĝojante pri Eŭropo - dum iliaj pasportaj numeroj, naskodatoj, telefonnumeroj kaj hejmaj adresoj estis vendataj en la malhela reto kaj cirkulitaj kiel specimenoj en Telegram. Eurail nur komencis informi la trafitojn la 27-an de marto 2026 - tri monatojn post la rompo, unu monaton post kiam la datumoj jam aperis en la malhela reto.
La GDPR postulas sciigon ene de 72 horoj. Eurail bezonis 90 tagojn. Oni povas supozi, ke la jura situacio estis studita, la komunikada strategio optimumigita, kaj la damaĝo al la bildo de la kompanio zorge kalkulita. La 308 777 koncernitaj individuoj ŝajne venis iom pli malfrue en ĉi tiu kalkulo.
La listo de ŝtelitaj datumtipoj legas kiel la dezirlisto de identecfraŭdulo: nomo, naskodato, pasporta numero, telefonnumero, loĝlando - kaj en iuj kazoj, ankaŭ sandatumoj. Eurail ankoraŭ ne klarigis kial provizanto de trajnobiletoj eĉ bezonus sandatumojn. Ĝi estas interesa demando, kiu restas nerespondita.
Precipe maltrankviliga estas la partopreno de la programo DiscoverEU de la Eŭropa Komisiono – la projekto, kiu donas al 18-jaraj eŭropanoj senpagajn Interrail-biletojn por esplori la kontinenton. Ekde 2018, pli ol 800 000 el ĉi tiuj biletoj estis distribuitaj, kaj la datumoj de la partoprenantoj cirkulas tra la sistemoj de Eurail. Temas pri junuloj, kiuj fidis la EU-on, provizis siajn datumojn kaj volis malkovri Eŭropon – kaj kies biletaj numeroj eble nun cirkulas en krimaj rondoj. Bela bonvena donaco pro la plenaĝiĝo.
Kaj jen kie komenciĝas la vera rakonto, kiu iras multe pli ol nur provizanto de trajnobiletoj.
Svislando enkondukis la elektronikan identigilon. La cifereca identeco, la elektronika ekvivalento de la fizika pasporto, estas la granda promeso de moderna administrado: ĉio pli simpla, ĉio pli rapida, ĉio interkonektita. Bankkonto, impostdeklaro, kuracista rendevuo, vizitoj al registaraj oficejoj - ĉio per ununura cifereca ŝlosilo. Praktika. Progresema. Neevitebla, kiel oni diras al ni.
La Eurail-hako montras kun la eleganteco de sledmartelo kion tio signifas: Centraligi ciferecan identecon kreas ununuran atakpunkton. Meti ĉiujn ŝlosilojn sur unu ŝlosilringon riskas, ke se tiu ŝlosilringo estas ŝtelita, ĉiuj pordoj estos malfermitaj samtempe. Ŝtelita fizika pasporto estas grava problemo - sed ĝi malfermas unu pordon. Kompromitita elektronika identigilo eble malfermas ilin ĉiujn.
La atakanto havis aliron al la stokadareoj de AWS S3, la subtensistemo de Zendesk, kaj la deponejoj de GitLab — ne nur al klientaj datumoj, sed ankaŭ al la fontkodo, infrastrukturaj akreditaĵoj, kaj al internaj komunikadoj. Ĉi tio ne estas nur hakado de ununura datumbazo. Ĉi tio estas plena aliro al infrastrukturo. Kaj ĝuste tio havus multe pli detruajn sekvojn por registar-administrata e-identiga infrastrukturo — ĉar ne temas pri trajnbiletoj, sed pri vivrimedoj.
La cifereca homo de la estonteco jam ne havas identecon en la senco, kiun ni konas. Ili havas datenregistraĵon. Ĉi tiu datenregistraĵo ekzistas sur serviloj funkciigataj de kompanioj aŭ registaraj agentejoj, kiuj siavice komisias servoprovizantojn, kiuj siavice luas infrastrukturon. Ĉiu el ĉi tiuj interfacoj estas ebla Eurail-momento. Ĉiu ĝisdatigo, ĉiu migrado, ĉiu neriparita sekureca vundebleco estas malferma flanko. Eurail ne estas noventrepreno, kiu povas simple preni mallongajn paŝojn - ĝi estas kritika EU-subtenata infrastrukturo, kiu stokis pasportajn numerojn kune kun fontkodo en la sama reto, kiun atakanto povus prirabi en ununura sesio.
Imagu la saman nivelon de zorgo aplikatan al elektronikaj identigiloj. Pasporta numero, imposta identigilo, medicina historio, bankaj detaloj, hejma adreso, biometriaj datumoj - ĉio sur ŝlosilringo, administrata de konsorcio, malkovrita post du monatoj, uzata por komuniki post tri, dum la datumoj jam delonge estas venditaj. Ĉi tio ne estas distopio. Ĝi estas la logika ekstrapolado de tio, kio jam okazis kun Eurail.
La respondo de la aŭtoritatoj al tiaj okazaĵoj estas ĉiam la sama: ŝanĝu vian pasvorton, kontrolu viajn kontojn, atentu suspektindajn retpoŝtojn. Kvazaŭ la 308 777 koncernitaj Interrail-klientoj rericevus siajn pasportnumerojn renovigante sian pasvorton de la aplikaĵo Rail Planner. Kvazaŭ identecŝtelo povus esti malhelpita per pliigita vigleco dum legado de retpoŝtoj, kiam via pasporta numero jam estas ofertita por vendo en malhela reta merkato por kelkaj centoj da dolaroj.
La vera demando, kiun neniu demandas laŭte, estas: Kial ciferecaj sistemoj sisteme kolektas pli da datumoj ol ili bezonas por sia kerna funkcio? Kial provizanto de trajnobiletoj bezonas sanajn datumojn? Kial pasportaj numeroj de 18-jaruloj estas konservataj, kiam ili simple ricevis senpagan bileton? Kaj kial ni, kiel socio, akceptas, ke la respondo al ĉiu datenŝtelo estas transdoni eĉ pli da datumoj al eĉ pli centraj unuoj - ĉar cifereca identeco supozeble estas la vojo de la estonteco?
La vojo de la estonteco. La klientoj de Eurail jam alvenis.
Bedaŭrinde, oni ne demandis al ili ĉu ili volas kunveni…
Pli por vi:
"Dravens Tales from the Crypt" sorĉas dum pli ol 15 jaroj kun sengusta miksaĵo de humuro, serioza ĵurnalismo - por aktualaĵoj kaj malekvilibra raportado en la gazetara politiko - kaj zombioj, ornamitaj per multe da arto, distro kaj punkroko. Draven transformis sian ŝatokupon en popularan markon, kiu ne povas esti klasifikita.
Mia blogo neniam estis desegnita por disvastigi novaĵojn, des malpli iĝi politikaj, sed kun aktualaĵoj mi simple ne povas ne kapti informojn ĉi tie, kiuj estas alie cenzuritaj en ĉiuj aliaj kanaloj. Mi konscias, ke la dezajnpaĝo eble ne ŝajnas al multaj "serioza" tiurilate, sed mi ne ŝanĝos tion por plaĉi al la "ĉefa". Ĉiu, kiu estas malfermita al neŝtataj informoj, vidas la enhavon kaj ne la pakaĵon. Mi sufiĉe provis provizi homojn per informoj dum la lastaj 2 jaroj, sed rapide rimarkis, ke neniam gravas kiel ĝi estas "pakita", sed kia estas la sinteno de la alia persono al ĝi. Mi ne volas meti mielon sur la buŝon de iu ajn por renkonti atendojn iel ajn, do mi konservos ĉi tiun dezajnon ĉar espereble iam mi povos ĉesi fari ĉi tiujn politikajn deklarojn, ĉar ne estas mia celo daŭrigi. tiel por ĉiam 
Mi lasas al ĉiuj kiel ili traktas ĝin. Vi bonvenas kopii kaj distribui la enhavon, mia blogo ĉiam estis sub la Permesilo WTFPL.
Estas malfacile por mi priskribi kion mi efektive faras ĉi tie, DravensTales fariĝis kultura blogo, muzika blogo, ŝoka blogo, te blognika blogo, terura blogo, amuza blogo, blogo pri trovitaj eroj en interreto, interreta bizara, ruba blogo, arta blogo, akvovarmigilo, zeitgeist-blogo tra la jaroj. , Forĵeta blogo kaj prena sako-blogo nomata. Ĉio prava ... - kaj tamen ne. La ĉefa fokuso de la blogo estas nuntempa arto, laŭ la plej vasta senco de la vorto.
Por certigi la funkciadon de la retejo, vi bonvenas Faru donacon per kreditkarto, Paypal, Google Pay, Apple Pay aŭ rekta debeto/bankkonto. Koran dankon al ĉiuj legantoj kaj subtenantoj de ĉi tiu blogo!
