3月5日,英国资讯专员办公室(ICO)发布公告称,该机构将对国泰航空(00293)罚款50万英镑,原因是其未能有效保护顾客个人信息安全。
英国资讯专员办公室(ICO)表示,国泰航空的计算机系统已经披露了11.15万名英国居民和另外940万其他国家居民的详细信息。其中包括姓名、护照详情、出生日期、电话号码、地址和旅行记录。该航空公司电脑系统于2014年10月至2018年5月期间“适当安保”不到位。
英国资讯专员办公室(ICO)表示,国泰航空在2018年3月时就发现了问题,当时国泰航空遭遇了“暴力”密码猜测攻击。该航空公司报告了此事后,在后续调查中发现了一系列错误,包括备份未受密码保护的文件、没有最新补丁的面向互联网的服务器、开发人员不再支持的操作系统、防病毒保护不足等。至少有一次攻击涉及到具有已知漏洞的服务器,但程序从未被修复,尽管有关信息已被公开了10多年。
英国资讯专员办公室(ICO)的调查主管史蒂夫·埃克斯利(Steve Eckersley)表示,国泰航空的系统存在一些基本的安全缺陷,这使得黑客很容易进入。该航空公司在英国网络安全中心提供的基本网络必需品指导中,有五分之四都没有通过。
另外,除了50万英镑的罚款,国泰航空可能会被股东处以4.7亿英镑的罚款,占其全球年营业额的4%。
去年7月,英国资讯专员办公室(ICO)曾宣布将对违反其系统的英国航空公司和万豪酒店集团(MAR.US)处以1.83亿英镑的罚款,但这两项罚款都被推迟至今年年末。