找回密码
 加入慢享
猜你喜欢
旅行常客论坛

国泰航空在英国遭重罚!泄露940万用户数据,收到450万元罚单

[复制链接]
发表于 2020-3-23 18:00:00 | 显示全部楼层 |阅读模式
日前,英国资讯专员办公室(ICO)发布公告称,因国泰航空未能有效保护客户个人信息安全,导致全球约 940 万客户的个人详细信息泄露,所以对国泰航空罚款 50 万英镑(约 451 万人民币)。据悉,这个罚款金额可能是英国法律指定的最高罚款金额。
据 ICO 称,2014 年 10 月到 2018 年 5 月期间,国泰航空的系统因缺乏安全措施,导致全球约 940 万客户个人信息泄露,其中 111578 人来自英国。泄露的个人信息包括姓名、护照资料、出生日期、电话号码、地址及旅行记录。
2018 年 3 月,国泰航空发现系统出现数据泄露迹象,当时数据库遭到了暴力攻击,短时内提交了大量的密码和短语。2018 年 5 月,国泰航空确认有客户资料外泄,并向香港警方和 ICO 报告了这一事件,其中约 86 万个护照号码及 24.5 万个香港身份证号码曾被不当取阅,403 张已逾期信用卡号码和 27 张无安全码的信用卡号码被不当取阅。2018 年 10 月,国泰航空主动对外披露了这一情况,并表示目前没有证据显示泄露数据遭到不当使用,ICO 也发布声明称,当前确实没有发现确凿的个人数据被滥用的案例,但不排除未来发生的可能性。
为什么国泰航空会发生数据泄露事件呢?根据 ICO 调查发现,国泰航空的系统是通过连接到互联网的服务器被侵入的,并且被安装了恶意软件来收集数据。另外,国泰航空还存在很多基本的安全问题,使得黑客轻松获得了访问权限,例如备份文件没有密码保护,服务器没有应用补丁,应用的操作系统是不再被开发者支持和维护的系统,防病毒保护不足等等。
ICO 调查主管史蒂夫·埃克斯利(Steve Eckersley)表示:“国泰航空系统中基本的安全缺陷数量众多,甚至有些安全措施远低于标准,从最基本的角度来看,该航空公司未能满足国家网络安全中心基本网络要求的五分之四。”


值得注意的是,本次国泰航空被罚 450 万依据的是英国 1998 年通过的《数据保护法》,而不是最近被频频提到的《通用数据保护条例》(GDPR)。主要原因是国泰航空数据泄露发生在 GDPR 生效之前,根据 ICO 披露的信息,未经授权使用国泰航空系统的最早日期是 2014 年 10 月 14 日,最早的未授权访问个人数据的日期是 2015 年 2 月 7 日。
相比于《数据保护法》,GDPR 的惩罚力度可能更大。2018 年 9 月,英国航空公司约 50 万客户的个人及信用卡信息泄露,ICO 拟罚款 1.83 亿英镑,约 16.5 亿人民币。

附录:国泰航空声明全文

国泰航空得悉,英国资讯专员办公室(Information Commissioner’s Office, ICO)于 2020 年 3 月 4 日,就一宗涉及公司于 2018 年发生的资讯事件发出罚款通知。
我们谨再次就事件表示遗憾及诚挚致歉。我们已采纳果断的措施,从多方面增强公司的资讯科技安全水平,包括数据管理、网络保安、取览资料监控、内部教育及宣传及应对事件灵敏度等等。过去三年,我们已投放大量资金强化公司的资讯科技基建及系统保安,并会继续在这方面投资资源。
国泰航空一直与英国资讯专员办公室和相关机构紧密合作,配合有关调查。我们就有关事件的调查显示,至今并无任何个人资料遭不当使用。
然而我们深切明白,现今的网络袭击日趋频繁及精密,我们会不断投资并强化公司的资讯科技保安系统。我们继续与有关当局合作,展示我们不遗余力地履行保障个人资料合规的承诺。

回复

使用道具 举报

快速回复 返回顶部 返回列表