国泰航空在英国遭重罚！泄露940万用户数据，收到450万元罚单

漫谈新科技 · 发表于 2020-3-23 18:00:00

日前，英国资讯专员办公室（ICO）发布公告称，因国泰航空未能有效保护客户个人信息安全，导致全球约 940 万客户的个人详细信息泄露，所以对国泰航空罚款 50 万英镑（约 451 万人民币）。据悉，这个罚款金额可能是英国法律指定的最高罚款金额。

据 ICO 称，2014 年 10 月到 2018 年 5 月期间，国泰航空的系统因缺乏安全措施，导致全球约 940 万客户个人信息泄露，其中 111578 人来自英国。泄露的个人信息包括姓名、护照资料、出生日期、电话号码、地址及旅行记录。

2018 年 3 月，国泰航空发现系统出现数据泄露迹象，当时数据库遭到了暴力攻击，短时内提交了大量的密码和短语。2018 年 5 月，国泰航空确认有客户资料外泄，并向香港警方和 ICO 报告了这一事件，其中约 86 万个护照号码及 24.5 万个香港身份证号码曾被不当取阅，403 张已逾期信用卡号码和 27 张无安全码的信用卡号码被不当取阅。2018 年 10 月，国泰航空主动对外披露了这一情况，并表示目前没有证据显示泄露数据遭到不当使用，ICO 也发布声明称，当前确实没有发现确凿的个人数据被滥用的案例，但不排除未来发生的可能性。

为什么国泰航空会发生数据泄露事件呢？根据 ICO 调查发现，国泰航空的系统是通过连接到互联网的服务器被侵入的，并且被安装了恶意软件来收集数据。另外，国泰航空还存在很多基本的安全问题，使得黑客轻松获得了访问权限，例如备份文件没有密码保护，服务器没有应用补丁，应用的操作系统是不再被开发者支持和维护的系统，防病毒保护不足等等。

ICO 调查主管史蒂夫·埃克斯利（Steve Eckersley）表示：“国泰航空系统中基本的安全缺陷数量众多，甚至有些安全措施远低于标准，从最基本的角度来看，该航空公司未能满足国家网络安全中心基本网络要求的五分之四。”

值得注意的是，本次国泰航空被罚 450 万依据的是英国 1998 年通过的《数据保护法》，而不是最近被频频提到的《通用数据保护条例》（GDPR）。主要原因是国泰航空数据泄露发生在 GDPR 生效之前，根据 ICO 披露的信息，未经授权使用国泰航空系统的最早日期是 2014 年 10 月 14 日，最早的未授权访问个人数据的日期是 2015 年 2 月 7 日。

相比于《数据保护法》，GDPR 的惩罚力度可能更大。2018 年 9 月，英国航空公司约 50 万客户的个人及信用卡信息泄露，ICO 拟罚款 1.83 亿英镑，约 16.5 亿人民币。

附录：国泰航空声明全文

国泰航空得悉，英国资讯专员办公室（Information Commissioner’s Office, ICO）于 2020 年 3 月 4 日，就一宗涉及公司于 2018 年发生的资讯事件发出罚款通知。

我们谨再次就事件表示遗憾及诚挚致歉。我们已采纳果断的措施，从多方面增强公司的资讯科技安全水平，包括数据管理、网络保安、取览资料监控、内部教育及宣传及应对事件灵敏度等等。过去三年，我们已投放大量资金强化公司的资讯科技基建及系统保安，并会继续在这方面投资资源。

国泰航空一直与英国资讯专员办公室和相关机构紧密合作，配合有关调查。我们就有关事件的调查显示，至今并无任何个人资料遭不当使用。

然而我们深切明白，现今的网络袭击日趋频繁及精密，我们会不断投资并强化公司的资讯科技保安系统。我们继续与有关当局合作，展示我们不遗余力地履行保障个人资料合规的承诺。

		记住	找回密码
密码			加入慢享