V celé Evropě jsou stále většímu počtu lidí vydávány digitální identity, i když ta celounijní má začít platit až koncem letošního roku. Pak budou všechny tyto digitální doklady sloučeny do jednoho celounijního systému.
Jaké problémy může digitální identita napáchat jsme mohli vidět i u nás během loňských parlamentních voleb. Mnozí majitelé digitálních ID (u nás nazývaných e-občanka nebo e-doklady) měli smůlu, protože ověření nefungovalo, takže se museli vrátit domů pro kartičku.
Tento problém nadšených zastánců digitální diktatury byl však nic proti tomu, co by se jim mohlo stát, pokud by někdo jejich údaje jednoduše hacknul.
A to se může stát kdekoli, kde se s ním budou prokazovat. Přesně to se stalo i cestujícím, kteří si nedávno na základě svého digitálního průkazu zakoupili vlakové jízdenky.
Hackeři, kteří se do systému dostali, náhle získali mnohem víc než co by zjistili z pouhé plastové kartičky. Součástí digitální identity jsou totiž nejen základní informace o uživateli, ale i další, jako adresa, telefon, e-mail, propojení s bankou či zdravotními záznamy, nemluvě o biometrických datech.
Eurail měl kontrolovat pouze věk, ale ověřil ho právě na základě čísla ID. To zůstalo v systému a posléze vedlo k hacknutí všech dalších údajů.
Ukradené soubory obsahují vše, co by si zloděj identity přál a nic, co by Eurail kdy potřeboval k prodeji vlakové jízdenky.
Společnost Eurail chtěla od lidí číslo dokladu, aby jim umožnila cestovat vlakem se slevou. Nyní jsou tato data na prodej na dark webu a některým z 308 777 lidí, kteří se dostali do kontaktu s hackery, bylo řečeno, aby si zrušili doklady a zaplatili si nové z vlastní kapsy.
Nizozemská společnost, která prodává jízdenky Interrail používané mladými cestujícími v 33 evropských zemích, tento týden potvrdila, že se vzorek ukradené datové sady již objevil na Telegramu.
„Můžeme potvrdit, že data zkopírovaná během bezpečnostního incidentu byla nabídnuta k prodeji na dark webu a vzorový datový soubor byl zveřejněn na Telegramu,“ uvedl mluvčí.
„Zákazníci, jejichž osobní údaje byly zahrnuty do vzorového datového souboru, jsou přímo informováni o tom, kde máme k dispozici kontaktní údaje.“
Celý úlovek obsahuje přesně to, o čem zloději identity sní, včetně čísel dokladů, dat platnosti, celých jmen, adres bydliště, e-mailových adres, telefonních čísel a dat narození.
Pro uživatele programu EU DiscoverEU, který rozdává mladým lidem bezplatné cestovní průkazy, odhalené záznamy zahrnují také kopie pasů, údaje o bankovních účtech a některé zdravotní údaje.
K narušení bezpečnosti došlo 26. prosince 2025. Eurail začal dotčené osoby informovat až 27. března 2026, tři měsíce poté, co hackeři narušili soubory a celý měsíc poté, co se data objevila na fóru o kybernetické kriminalitě.
V únoru se hacker veřejně přihlásil k odpovědnosti a uvedl, že ukradl zhruba 1,3 terabajtu dat z instancí AWS S3, Zendesk a GitLab společnosti Eurail, včetně zdrojového kódu, záloh databází a tiketů podpory.
Tentýž hacker uvedl, že jednání s Eurailem selhala, a proto byly soubory zveřejněny.
Nic z toho nebyla informace, kterou Eurail potřeboval k prodeji jízdenky na vlak. Železniční operátoři provozovali evropské železniční sítě po celá desetiletí, aniž by od každého zákazníka požadovali čísla dokladů a data narození.
Systém ověřování identity, který je nyní součástí jednoduché železniční jízdenky, existuje proto, že se kontroly totožnosti staly výchozím obchodním modelem, ne proto, že by někdo dokázal vysvětlit, proč prodej sedmidenní jízdenky Interrail vyžaduje trvalou kopii něčího úředně vydaného průkazu totožnosti.
Únik dat ze systému Eurail je praktickou ukázkou toho, co se stane, když vlády zacházejí se shromažďováním identity jako se standardním nastavením běžného života. Spojené království směřuje k povinnému systému digitální identifikace.
EU zavádí svou evropskou peněženku digitální identity .
Dodržování zákona o online bezpečnosti ve Velké Británii nyní vyžaduje ověření věku na obrovském množství webů, přičemž platformy požadují vládní doklady totožnosti, skenování obličeje nebo údaje o kreditní kartě, než uživatelé získají přístup k obsahu, který byl před rokem volně dostupný.
Každý z těchto systémů spočívá na stejném předpokladu, který potopil zákazníky Eurailu, a to, že údaje o identitě lze bezpečně shromažďovat, bezpečně ukládat a na dobu neurčitou chránit před nepovolanými rukama.
Tento předpoklad se nikdy nepotvrdil. Vzorec je nyní dostatečně konzistentní, aby byl předvídatelný.
Vláda nebo regulační orgán rozhodne, že ověření identity by mělo být povinné pro nějakou činnost, ať už se jedná o nákup jízdenky na vlak, sledování obsahu pro dospělé, otevření bankovního účtu nebo zveřejnění příspěvku na sociálních sítích.
Soukromé společnosti budují ověřovací infrastrukturu, protože vlády si jen zřídka budují svou vlastní.
Tyto společnosti pak uchovávají databáze čísel pasů, biometrických skenů a domácích adres, zabezpečené podle zavedených firemních bezpečnostních postupů.
Databáze bývají často narušeny, protože k narušení databází dochází vždy a důsledky nesou lidé, jejichž data byla shromážděna, nikoli subjekty, které na jejich shromažďování trvaly.
Ohodnoťte tento příspěvek!
[Celkem: 2 Průměrně: 5 ]
