国泰航空泄露940万乘客资料，遭英国罚款500万港币

航空圈讯 英国资讯委员会办公室（ICO）当地时间3月4日公布消息说，对国泰航空有限公司（Cathay Pacific Airways Limited）罚款50万英镑（约450万元人民币或者500万元港币），原因是该公司未能保护客户个人数据的安全。

ICO称，2014年10月至2018年5月期间，国泰航空的计算机系统缺乏适当的安全措施，导致客户的个人信息被泄露，其中111578人来自英国，而全球约940万人。

被泄露乘客的个人信息包括：姓名、护照和身份信息、出生日期、电子邮件地址、电话号码和历史旅行信息等。

国泰航空在2018年3月意识到可疑活动，当时其数据库遭到暴力攻击，提交了大量密码或短语，希望最终能够正确猜出。这一事件导致国泰航空聘用了一家网络安全公司，他们随后向ICO报告了这一事件。

除了迅速向一家领先的网络安全公司寻求专家协助外，国泰航空还向受影响的个人发布了适当的信息，并配合ICO的调查。

ICO称，国泰航空是一家设在香港的航空公司，但其在英国有分支机构，而且提供航班服务，过程中直接处理相关数据。因此，ICO有权根据相关法律进行调查。

ICO发现，国泰航空的系统是通过连接到互联网的服务器输入的，并安装了恶意软件来获取数据。ICO调查期间发现了一系列错误，包括：未受密码保护的备份文件；网上服务器没有进行最新更新；使用开发人员不再支持的操作系统以及防病毒保护不足。

ICO调查主管史蒂夫·埃克斯利（Steve Eckersley）表示：“当人们向公司提供他们的个人信息时，他们理所当然地期望这些信息将保持安全，以确保他们免受任何潜在的伤害或欺诈。但事实并非如此。”

“鉴于国泰航空系统中基本的安全缺陷数量众多，使得黑客很容易获得访问权限，因此这一漏洞尤其令人担忧。我们发现的多个严重缺陷远远低于预期的标准。从最基本的角度来看，该航空公司未能满足国家网络安全中心的基本网络基本要求中的五分之四。根据《数据保护法》，组织必须采取适当的安全措施和健全的程序，以确保尽可能难以渗透计算机系统。”

根据ICO披露的信息，未经授权使用国泰航空系统的最早日期是2014年10月14日，最早的未授权访问个人数据的日期是2015年2月7日。

强化的英国和欧洲数据保护法于2018年生效，但由于这些事件发生的时间，ICO根据1998年《数据保护法》调查了这起案件。ICO发现这一违反行为严重违反了1998年《数据保护法》的第7项规定，该规定指出，必须采取适当的技术和组织措施，防止未经授权或非法处理个人数据。

由于此次调查的时间紧迫，根据先前的立法（1998年《数据保护法》）进行民事罚款，根据该法律，民事案件的最高罚款为50万英镑。

英国于2018年5月25日颁布了最新数据保护法——《通用数据保护条例》（GDPR），其规定包含在《2018年数据保护法》中。根据该项法律，ICO有权对相关数据拥有者处以高达1700万英镑（2000万欧元）或全球营业额4%的民事罚款。

英国资讯委员会办公室（ICO）是英国的数据保护和信息权利法独立监管机构，维护公共利益的信息权，促进公共机构的开放性和个人的数据隐私。

据航空圈了解，此前2019年10月24日晚间，国泰航空主动对外公告，披露940万名乘客护照号码、信用卡号、飞行记录等重要个资遭到外泄。国泰航空表示发现事件后已即时采取行动阻止并进行调查，并无证据显示任何个人资料曾被不当动用也没有任何密码外泄。

声明：本文来自航空圈，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。