Die chinesische Fluggesellschaft Cathay Pacific hat zugegeben, Opfer eines katastrophalen Datenlecks geworden zu sein, und dabei die Daten von 9,4 Millionen Kunden preisgegeben.
Sehen Sie sich einen Mitarbeiter von Bupa an, der versucht hat, Kundendaten im Dark Web zu verkaufen
Der Verstoß umfasst Daten in Bezug auf Namen von Passagieren, ihre Nationalitäten, Geburtsdaten, Telefonnummern, E-Mail- und physische Adressen, Passnummern, Personalausweisnummern, Kreditkartennummern und sogar historische Reiseinformationen.
Verdächtige Aktivitäten wurden erstmals im März entdeckt, und die Fluggesellschaft sagte, dass sie unverzüglich Maßnahmen ergriffen habe, um den Vorfall zu untersuchen und einzudämmen, betonte jedoch, dass sie keine Beweise dafür habe, dass persönliche Daten missbraucht wurden.
Rund 9,4 Millionen Passagiere von Cathay und ihrer Einheit Hong Kong Dragon Airlines Limited seien ohne Genehmigung zugegriffen worden. Dazu gehörten 860.000 Passnummern, etwa 245.000 Personalausweisnummern aus Hongkong, 403 abgelaufene Kreditkartennummern und 27 Kreditkartennummern ohne Kartenprüfwert (CVV).
„Wir entschuldigen uns sehr für alle Bedenken, die dieses Datensicherheitsereignis bei unseren Passagieren hervorrufen könnte“, sagte CEO Rupert Hogg in einer Erklärung. Er fügte hinzu, dass die Fluggesellschaft dabei sei, die betroffenen Personen zu kontaktieren.
„Wir haben keine Beweise dafür, dass personenbezogene Daten missbraucht wurden. Auf das Reise- oder Treueprofil von niemandem wurde vollständig zugegriffen, und es wurden keine Passwörter kompromittiert“, fügte er hinzu.
Cathay Pacific sagte, sie habe die Polizei von Hongkong benachrichtigt und „benachrichtige auch die zuständigen Behörden“.
Randy Abrams, Senior Security Analyst bei Webroot, sagte gegenüber Alphr dass Fluggesellschaften ein immer beliebteres Ziel für Cyberkriminelle zu sein scheinen. In den letzten Monaten haben Air Canada und British Airways Verstöße erlitten. Obwohl das Unternehmen seinen Sitz in Hongkong hat, ist es aufgrund seiner Geschäfte mit europäischen Kunden in der Schusslinie der DSGVO-Durchsetzung.
„Die Sicherheitsverletzung bei Cathay Pacific offenbarte einen funktionsreichen Datensatz, darunter mehr als 40-mal mehr Pässe als bei der Sicherheitsverletzung bei Air Canada, was bedeutet, dass dies viel größere Auswirkungen auf die Passagiere haben wird“, sagte er.
„Zusätzlich zu den Reputationskosten kann Cathay Pacific aufgrund der Zeit, die zwischen der Entdeckung des Verstoßes und der Meldung an die Öffentlichkeit vergangen ist, mit kostspieligen DSGVO-Auswirkungen konfrontiert werden.“
Ed Macnair, CEO von CensorNet, sagte zu Alphr Das Besorgniserregende an diesem Verstoß ist die Tatsache, dass das Problem erstmals im März identifiziert und im Mai bestätigt wurde, und doch macht Cathay Pacific es erst jetzt öffentlich.
„Angesichts der Tatsache, dass die gestohlenen Daten Passdaten, Reiserouten und einige Zahlungsinformationen enthielten – wenn auch nur für eine kleine Anzahl von Personen – hätte die Fluggesellschaft die Betroffenen sofort informieren müssen, damit sie schnell handeln können. Auch wenn es unterschiedlich erscheinen mag, können Hacker eine Kombination der gestohlenen Daten verwenden, um ein Bild von jemandem zu erstellen, was zu Identitätsdiebstahl und anderen ernsthaften Problemen für Einzelpersonen führen kann“, sagte er.