因為系統保安設施不足,洩露 940 萬客戶個人資料的國泰航空,當中包括逾 10 萬英國人受影響,遭英國資訊專員辦公室( ICO )罰款 50 萬英鎊。罰款為當地《 1998 年數據保護法案》的最高金額。調查期間發現,國泰系統有多項失誤。
ICO 就國泰航空洩露 11 萬 1,578 名英國人的失誤作出罰款。該航空公司在 2018 年 3 月報告受到外來攻擊,並發現在 2014 年 10 月至 2018 年 5 月期間洩露 940 萬客戶的個人資料,亦即發現後未能有效停止堵塞漏洞。 ICO 報告稱,發現未經授權存取系統早至 2014 年 10 月 14 日,而未經授權存取客戶資料則早至 2015 年 2 月 7 日發生。
經國泰航空洩露的客戶資料,包括姓名、護照資料、出生日期、電話號碼、地址、旅遊記錄等。
接獲國泰航空報告事件後, ICO 設小組調查。小組發現該航空公司的 IT 系統有多處失誤,包括:
- 備份檔案沒有密碼保護;
- 連接互聯網的伺服器未有安裝最新修補程式;
- 所使用的作業系統不再獲官方支援;
- 防毒軟件不夠強。
報告提到,最少一次攻擊利用伺服器的已知超過 10 年的漏洞發動,但國泰航空從未安裝修補程式。 ICO 調查小組主管 Steve Eckersley 稱,國泰航空整體 IT 系統連基本安全措施也未有做足,英國國家網路安全中心( NCSC )的五大基本保安指引,其中四項都未能符合要求,令黑客輕易入侵。
預計多國政府將會陸續向國泰航空罰款,除了香港。特區政府私隱專員公署就事件的調查早已完成,去年 6 月發表報告,指國泰的漏洞管理、保安措施、數據管治等,都沒有採取合適步驟,但報告未有提到罰款。