Die Fluggesellschaft Cathay Pacific hat ein schwerwiegendes Datenleck bestätigt, bei dem sensible Informationen von 9,4 Millionen Passagieren kompromittiert wurden.
Betroffen sind Namen, Nationalitäten, Geburtsdaten, Telefonnummern, E-Mail-Adressen, physische Adressen, Passnummern, Personalausweisnummern, Kreditkartendaten sowie historische Reiseinformationen.
Verdächtige Aktivitäten wurden bereits im März entdeckt. Cathay Pacific hat sofort Untersuchungen eingeleitet und den Vorfall eingedämmt. Laut dem Unternehmen gibt es keine Hinweise auf Missbrauch der Daten.
Insgesamt wurden Daten von 9,4 Millionen Passagieren der Cathay Pacific und ihrer Tochter Hong Kong Dragon Airlines unauthorized zugegriffen. Dazu zählen 860.000 Passnummern, rund 245.000 hongkongische Personalausweisnummern, 403 abgelaufene Kreditkartennummern und 27 Kreditkartennummern ohne CVV-Code.
CEO Rupert Hogg entschuldigte sich in einer Stellungnahme: „Wir bedauern zutiefst die Unsicherheit, die dieses Sicherheitsvorfall bei unseren Passagieren auslöst.“ Die Airline kontaktiere derzeit alle Betroffenen.
„Es gibt keine Belege für Missbrauch personenbezogener Daten. Kein Reise- oder Treueprofil wurde vollständig kompromittiert, und Passwörter sind unberührt“, ergänzte Hogg.
Cathay Pacific hat die Hongkonger Polizei informiert und unterrichtet zuständige Behörden weltweit.
Randy Abrams, Senior Security Analyst bei Webroot, erklärte gegenüber Alphr: Fluggesellschaften sind zunehmend attraktive Ziele für Cyberkriminelle. Kürzlich traf es Air Canada und British Airways. Trotz Sitz in Hongkong drohen Cathay Pacific wegen EU-Kunden hohe DSGVO-Strafen.
„Dieses Leck umfasst über 40-mal mehr Passdaten als bei Air Canada – mit weitreichenderen Folgen für Passagiere“, betonte Abrams. Die Verzögerung bei der öffentlichen Bekanntgabe könnte zusätzliche Bußgelder nach sich ziehen.
Ed Macnair, CEO von CensorNet, kritisierte gegenüber Alphr: Das Problem wurde im März erkannt und im Mai bestätigt, doch erst nun öffentlich gemacht. „Mit Passdaten, Reiserouten und Zahlungsinfos hätte Cathay die Betroffenen sofort informieren müssen. Hacker können daraus Identitätsdiebstähle konstruieren.“