Προσωπικά δεδομένα: Πρόστιμο 575.00 ευρώ σε αεροπορική εταιρεία για ελλιπή μέτρα ασφαλείας

Πρόστιμο 500.000 βρετανικών λιρών (περίπου 575.000 ευρώ) επέβαλε σε αεροπορική εταιρία (Cathay Pacific Airways Limited) η βρετανική αρχή προστασίας δεδομένων (Γραφείο Επιτρόπου Πληροφόρησης - ICO) για την αποτυχία της να προστατεύσε τα προσωπιά δεδομένα των πελατών της.

Μεταξύ Οκτωβρίου 2014 και Μαΐου 2018, τα συστήματα πληροφορικής της Cathay Pacific δεν διέθεταν τα κατάλληλα μέτρα ασφαλείας, γεγονός που οδήγησε στην έκθεση των προσωπικών στοιχείων των πελατών, εκ των οποίων 111.578 ήταν από το Ηνωμένο Βασίλειο και περίπου 9,4 εκατομμύρια περισσότεροι παγκοσμίως.

Η αποτυχία της αεροπορικής εταιρείας να διασφαλίσει τα συστήματά της οδήγησε σε μη εξουσιοδοτημένη πρόσβαση στα προσωπικά στοιχεία των επιβατών, όπως ονόματα, στοιχεία διαβατηρίου και ταυτότητας, ημερομηνίες γέννησης, ταχυδρομικές και ηλεκτρονικές διευθύνσεις, αριθμούς τηλεφώνου και ιστορικό ταξιδιών.

Η Cathay Pacific έλαβε γνώση ύποπτης δραστηριότητας τον Μάρτιο του 2018, όταν η βάση δεδομένων της δέχθηκε επίθεση (brute force attack), κατά την οποία υποβλήθηκαν πολυάριθμοι κωδικοί ή φράσεις με την ελπίδα ότι τελικά θα βρεθούν τα σωστά.

Η Cathay Pacific ανέθεσε τη διερεύνηση του περιστατικού σε μια εταιρεία κυβερνοασφάλειας, και στη συνέχεια ανέφερε το περιστατικό στην ICO.

Η ICO διαπίστωσε ότι τα συστήματα της Cathay Pacific παραβιάστηκαν μέσω ενός διακομιστή συνδεδεμένου με το Διαδίκτυο και εγκαταστάθηκε κακόβουλο λογισμικό για τη συλλογή δεδομένων.

Κατά τη διερεύνηση της ICO βρέθηκε κατάλογος σφαλμάτων, μεταξύ των οποίων: τα αντίγραφα ασφαλείας των αρχείων δεν προστατεύονταν με κωδικό πρόσβασης, γινόταν χρήση λειτουργικών συστημάτων που δεν υποστηρίζονται πλέον από τον προγραμματιστή τους και υπήρχε ανεπαρκής προστασία από ιούς.