智通财经APP获悉,英国资讯委员会办公室(ICO)近日发布公告表示,对国泰航空有限公司(00293)罚款50万英镑(约451万元人民币),原因是该公司未能保护客户个人信息安全。这次或是根据英国相关法律而指定的最高罚款金额。
ICO称,2014年10月至2018年5月期间,国泰航空及其旗下的香港龙航有限公司的计算机系统缺乏适当的安全措施,导致网络攻击者入侵访问乘客个人数据的系统,客户的个人信息被泄露,其中约11万人来自英国,涉及全球客户约940万人。
国泰航空也表示,约86万个护照号码及24.5万个香港身份证号码被不当取览。另有403张已逾期信用卡号码及27张无安全码(CVV)的信用卡号码也受影响。
国泰发现外泄信息包括乘客姓名、国籍、出生日期、电话号码、电邮、地址、护照号码、身分证号码与历史飞行记录。每位受影响的乘客被不当取览的资料有所不同。没有任何乘客的旅行及常客计划资料被全部取览,亦没有任何密码外泄。
国泰航空在2018年3月意识到网络可疑活动,当时其数据库遭到暴力攻击,提交了大量密码或短语,希望最终能够正确猜出。这一事件发生使得国泰航空聘用了一家网络安全公司,他们随后向ICO报告了这一事件。
ICO称,经调查发现,国泰有多项缺失,包括备份文件没有密码保护、网上服务器没有作最新更新;使用开发人员不再支持的操作系统以及防病毒保护不足。国泰航空存在许多“远低于标准”的严重缺陷,且未能实践英国国家网络安全中心五项基本指导方针中的四项。
另外,除了50万英镑的罚款,国泰航空可能会被股东处以4.7亿英镑的罚款,占其全球年营业额的4%。
国泰称,已得悉ICO的罚款通知,并再次就事件致歉,又称已从多方面增强公司的信息科技安全水平,调查结果显示,至今并无任何个人资料遭不当使用。