2026 júniusában a Trenitalia nyilvánosságra hozta, hogy ismeretlen támadók jogosulatlan hozzáférést szereztek az utasok személyes adataihoz. A vállalat az esemény észlelését követően biztonsági intézkedéseket vezetett be az anomália megszakítására, a rendszerek védelmére és a kontrollkörnyezet megerősítésére. A kommunikáció arra is kitér, hogy az érintetti kör pontos meghatározásához időigényes technikai és biztonsági elemzésekre van szükség.
A Trenitalia Olaszország állami vasúttársasága, az Európai Unió egyik legnagyobb vasúti személyszállítója. Az olasz Ferrovie dello Stato Italiane (FS) csoport tagjaként évente több százmillió utast szállít, és a menetjegyértékesítés döntő részét saját online platformján, mobilalkalmazáson és automatákon keresztül bonyolítja le. Mivel az utasok regisztrálnak, hűségkártyát igényelnek és online jegyet vásárolnak, a cég nagy mennyiségű személyes adatot kezel.
A közleményük szerint az incidensben érintett adatok köre kiterjedhetett az azonosító és kapcsolattartási adatokra (név, e-mail cím, telefonszám), az utazási információkra (útvonal, időpont, jegyazonosító), a hűségkártya azonosítóra, a munkáltató megnevezésére, egyes szolgáltatási vagy kedvezményi adatokra, valamint az okmányadatokra is, amennyiben ezek az adott menetjegyhez kapcsolódva jelen voltak az informatikai rendszerekben. Fontos részlet, hogy a jelszavak, bankkártyaadatok és fizetési információk nem érintettek. A Trenitalia állítása szerint ezekhez a támadóknak nem volt hozzáférésük.
Azonban különösen érzékeny az utazási metaadatok és a kapcsolattartási adatok kombinációja, mert ez kiváló alapot teremthet célzott social engineering műveletekhez. Ha egy támadó ismeri az utazás időpontját, az útvonalat, a jegyazonosítót vagy a kapcsolódó szolgáltatást, akkor a csalási kísérletek hitelessége jelentősen nőhet, különösen e-mailes, SMS-alapú vagy telefonos megkeresések esetén.
Képzeljük el a következő forgatókönyvet: valaki kap egy e-mailt, amelyben pontosan hivatkoznak az ő múlt heti vonatjegyére, a konkrét útvonalra és az időpontra. Az üzenet azt állítja, hogy a jegy módosul, és kártérítést igényelhet, csak kattintson egy linkre, és adja meg az adatait. Mivel az e-mail pontos, valódi adatokat tartalmaz, sokkal hitelesebbeknek tűnik egy általános levélnél. A Trenitalia ezért kifejezetten figyelmeztette ügyfeleit, hogy legyenek gyanakvóak bármilyen, az adatszivárgáshoz kapcsolódónak tűnő kommunikációval szemben.
Az esetet bejelentették az olasz adatvédelmi hatóságnak és a CSIRT Italia részére, továbbá feljelentés is történt a római ügyészségen. A Trenitalia döntése, hogy minden érintett ügyfelet személyesen tájékoztat.
A Trenitalia-eset jól szemlélteti, hogy egy adatvédelmi incidens súlyát nem csak az határozza meg, hogy „kiszivárogtak-e bankkártyaadatok”. Az utazási és kapcsolattartási adatok kombinációja is komoly fenyegetést jelent, mert ezekkel valósághű és személyre szabott csalások építhetők fel.
