Photo by Kevin Bosc on unsplash

英國資訊委員會辦公室(Information Commissioner Office,ICO)本周公布2018年的國泰航空資料外洩案懲處,由於業者多項缺失突顯安全遠不及格,判罰國泰航空50萬英鎊。

國泰航空2018年遭到攻擊,駭客經由其IT外包商系統駭入Microsoft AD,國泰航空2018年3月發現後啟動了一連串調查,進而發現長達4年、波及近千萬客戶的資料外洩。

調查發現,事件牽涉二組駭客攻擊行動及國泰航空4個系統。第一組駭客入侵其報表系統,不過怎麼駭入的尚不得而知。第二組駭客於2017年8月,經由連外伺服器植入惡意程式後,竊取國泰航空員工帳密,然後取得VPN、管理員控制台及對外App的平台,最後第二組駭客一連駭入會員管理系統、亞洲萬里通(Asia Miles)交易系統及一個網站後台資料庫。

總結而言,國泰航空系統於2014年10月首度遭駭入,資料外洩時間從2015年7月持續到2018年5月。近940萬客戶的姓名、生日、護照號碼、地址、電話、電子郵件、會員號碼等個資外洩。其中包括超過23萬及11萬名歐洲經濟區及英國公民。也有香港及台灣地區客戶受到影響。事後有12萬名客戶通報資料外洩,像是信用卡被盜刷。

去年香港政府相關調查便發現,國泰航空有多項漏洞管理、資安措施不當。像是一年才做一次漏洞掃瞄,以致於未能及時發現漏洞,有IT系統權限的遠端用戶未實施多因素驗證,資料中心搬移時也未加密資料備份檔,用戶資料分散儲存沒有統一管理,以致於無法在最快時間掌握被駭災情。

英國ICO則指出,客戶把個資交給一家公司時,期待資料會被妥善保存,不受損害或欺詐,但顯然不是如此,國泰航空基本安全措施之不足,使本案格外令人憂心,ICO認為上述多項重大缺失,突顯國泰航空的安全措施遠低於應有水準。但因事件發在GDPR上路(2018年5月)之前,故依據舊版資料保護法,判罰最高金額50萬英鎊(約1,920萬台幣)。

去年英國政府,也分別就英國航空及飯店集團萬豪國際的重大資料外洩做出處份,在GDPR上路後,兩者分別被重罰1.8億及9,900萬英鎊。


Advertisement

更多 iThome相關內容