Η διεθνής αεροπορική εταιρεία Cathay Pacific δέχτηκε πρόστιμο 500.000 λιρών, επειδή δεν κατάφερε να προστατεύσει αποτελεσματικά τα προσωπικά δεδομένα των πελατών της.
Το Γραφείο του Επιτρόπου Προστασίας Πληροφοριών (ICO) δήλωσε ότι από τον Οκτώβριο του 2014 μέχρι το Μάιο του 2018 τα συστήματα της Cathay Pacific δεν διέθεταν τα κατάλληλα μέτρα ασφαλείας. Αυτό είχε ως αποτέλεσμα την έκθεση των προσωπικών δεδομένων των πελατών. Από αυτά τα δεδομένα, τα 111.578 ανήκαν σε πολίτες του Ηνωμένου Βασιλείου και περίπου 9,4 εκατομμύρια σε ανθρώπους από όλο τον κόσμο.
Λόγω της ελλιπούς προστασίας, κάποιοι hackers κατάφεραν να αποκτήσουν πρόσβαση στα συστήματά της Cathay Pacific και να κλέψουν προσωπικές πληροφορίες των πελατών. Τα παραβιασμένα δεδομένα περιλαμβάνουν: ονόματα, στοιχεία διαβατηρίου και ταυτότητας, ημερομηνίες γέννησης, ταχυδρομικές και ηλεκτρονικές διευθύνσεις, αριθμούς τηλεφώνου και ταξιδιωτικές πληροφορίες.
Μια έρευνα από την αρχή προστασίας δεδομένων έδειξε ότι υπήρχαν πολλά λάθη στον τρόπο με τον οποίο η αεροπορική εταιρεία διαχειριζόταν την ασφάλεια στον κυβερνοχώρο. Αυτά τα λάθη οδήγησαν στην παραβίαση των δεδομένων, η οποία ανακαλύφθηκε μετά από τέσσερα χρόνια (Οκτώβριος 2014 – Μάιος του 2018).
Ποια ήταν αυτά τα λάθη στην ασφάλεια;
Ο επίτροπος δήλωσε ότι τα αντίγραφα ασφαλείας της Cathay Pacific δεν ήταν προστατευμένα με κωδικό πρόσβασης ούτε ήταν κρυπτογραφημένα. Επιπλέον, το λειτουργικό σύστημα και οι servers δεν ήταν ενημερωμένοι παρά την ύπαρξη μιας γνωστής ευπάθειας, ενώ δεν υπήρχε επαρκής προστασία από ιούς.
Επίσης, η εταιρεία κατηγορήθηκε για την έλλειψη software-patching management στρατηγικής και για τη δυνατότητα των χρηστών να έχουν απομακρυσμένη πρόσβαση στα συστήματα χωρίς έλεγχο ταυτότητας πολλαπλών παραγόντων.
Η Cathay Pacific παρατήρησε ύποπτη δραστηριότητα τον Μάρτιο του 2018, περίπου τέσσερα χρόνια μετά την αρχική παραβίαση, όταν οι hackers είχαν ήδη αποκτήσει πρόσβαση στα δεδομένα των πελατών και είχαν προσπαθήσει να εισχωρήσουν και σε άλλες περιοχές.
Μετά από αυτό, η αεροπορική προσέλαβε μια εταιρεία ασφαλείας για να διερευνήσει την υπόθεση και ανέφερε το περιστατικό στον επίτροπο προστασίας πληροφοριών.
“Οι άνθρωποι αναμένουν όταν τα προσωπικά στοιχεία που παρέχουν σε μια εταιρεία, θα παραμείνουν ασφαλή και θα προστατευτούν από οποιαδήποτε απάτη. Αυτό απλά δεν συνέβη εδώ”, δήλωσε ο Steve Eckersley από το γραφείο προστασίας πληροφοριών.
Αυτή η παραβίαση ήταν ανησυχητική καθώς σχετίζεται με έναν ιδιαίτερα μεγάλο αριθμό ανεπαρκειών ασφάλειας στα συστήματα της Cathay Pacific.
Ως αποτέλεσμα, η Cathay Pacific έλαβε πρόστιμο £ 500.000, το μέγιστο ποσό που δίνεται με βάση το νόμο περί προστασίας δεδομένων του 1998.
“Η εταιρεία θα ήθελε και πάλι να εκφράσει τη λύπη της και να ζητήσει συγγνώμη γι’ αυτό το συμβάν”, δήλωσε η Cathay Pacific.
“Έχουν δαπανηθεί σημαντικά ποσά για υποδομές και ασφάλεια, τα τελευταία τρία χρόνια, και οι επενδύσεις σε αυτές τις περιοχές θα συνεχιστούν”, πρόσθεσε η αεροπορική εταιρεία.
Η παραβίαση δεδομένων στην Cathay Pacific αποκαλύφθηκε πριν την έναρξη ισχύος του GDPR (τον Μάιο του 2018). Αν η αποκάλυψη γινόταν μετά, το πρόστιμο θα ήταν μεγαλύτερο.
