Im Januar 2022 sorgte ein Datenleck bei den SBB für einiges mediales Aufsehen. Wie die Medien berichteten, konnte ein externer IT-Spezialist auf der SBB-Vertriebsplattform durch automatisierte Abfragen rund 1 Million Datensätze abgreifen. Das Leck, das aufgrund eines technischen Mangels entstanden war, bestand nach Angaben der Medien für wenige Wochen und wurde im Januar 2022 beseitigt. In den Datensätzen, die abgeflossen sind, waren gemäss SBB Informationen über Namen und Geburtsort von Kundinnen und Kunden sowie über gekaufte Tickets und Abonnemente enthalten. Es sei jedoch kein Schaden für die Kundinnen und Kunden entstanden, da keine Email-Adressen oder Passwörter öffentlich zugänglich gewesen seien, so die SBB. Letztere informierten sodann den eidgenössischen Datenschutzbeauftragten über den Vorfall und leiteten eine interne Untersuchung ein.
Die NZZ kritisierte in der Folge die Aussage der SBB, wonach der Kundschaft kein Schaden entstanden sei; die abgegriffenen Informationen seien nämlich, verknüpft mit anderen Daten, für Kriminelle durchaus wertvoll. Auch in Le Temps wurden die SBB kritisiert: François Charlet, ein auf neue Technologien spezialisierter Jurist, vermutete, dass es die SBB nicht bemerkt hätten, wenn zusätzlich zum IT-Spezialisten auch eine Person mit kriminellen Absichten in der fraglichen Zeit Daten an sich genommen hätte.