国泰航空940万乘客资料外泄,过去五年民航业已经泄漏近1000万用户信息 | 好奇心小数据

曾多次入选年度最佳航司榜单的香港国泰航空,最近因为客户资料泄漏一事而备受指责。已有超过 200 名客户有意对国泰发起集体诉讼。

事情源于国泰航空上周三(10 月 24 日)宣布,它们发现超过 940 万乘客资料曾遭到未获授权浏览。外泄资料包括乘客姓名、电话、大约 86 万个护照号码、24.5 万个香港居民身份证号码,以及大约 430 张已逾期或无安全码的信用卡卡号等。

这是迄今为止民航业波及群体最广的个人资料泄漏事件。

国泰航空在发给《好奇心日报(www.qdaily.com)》的资料中说,发现事件后已及时采取行动进行调查,并阻止事件进一步蔓延。国泰强调没有证据显示任何个人资料曾被不当动用,受影响的资讯系统与国泰航空的航班运作系统为两个完全独立的系统,并称此次事件不会对国泰航空的航班安全构成任何影响,不过仍建议用户修改账户资料。

今年前九个月,国泰航空累计运送旅客人次数达到 2652 万。

但根据国泰航空顾客及商务总裁卢佳培在一档电台节目上的说法,国泰航空今年 3 月即发现资料不正常地被转移到其他系统,5 月时确认乘客的资料被不当地取览过。至于为何时隔这么久才宣布,他说:“我们采取的办法就是不要仓促,但要十分小心地了解整件事情的发生,亦不想制造无谓恐慌。”

国泰航空在发给会员的事件相关邮件中也提及在新闻发布前几个月,即已获悉数据泄漏信息。

这种说法遭到香港个人数据隐私办公室的抨击。香港政制及内地事务局亦表示政府对事件高度关注,并指出隐私监管机构已展开调查,促请国泰航空立即采取补救行动。《南华早报》周一(29 日)报道称,香港警方已到访国泰总部,了解其系统服务器工作原理,还发送了警方所需要的资料清单。

国泰航空暂未就事态最新进展对《好奇心日报(www.qdaily.com)》置评。

虽然航空业可能是全球最受监管的行业之一,但无论是机场还是航空公司,都已成了网络犯罪实施的对象。因为与旅游行业、金融业、社交领域公司一样,航空公司坐拥大量客户数据,这些数据对欺诈者具有吸引力。

本月,另一家大型跨国航空公司英国航空也对外宣布了一桩黑客窃取客户资料事件的最新进展。

英国航空此前曾透露今年 4 月 21 日至 7 月 28 日期间在英航官网支付订单的旅客,其银行卡可能存在被盗风险,大约涉及 7.7 万张卡片持有人。不过上周末英航更新了相关数据,称有 38 万笔交易存在问题、约 24.4 万银行卡持卡人因此存在信息暴露的风险,有超过 7 万人的信用卡三位/四位安全代码也一同泄漏。

此事件发生在欧盟隐私保护法案(GDPR)发生之后,英国《独立报》英国航空目前面临 5 亿英镑罚款的处罚,当地信息专员办公室(ICO)也在调查此事件。由于 GDPR 法案的通过在英国脱欧前,所以这项法案将适用于英国。2015 年 3 月,英国也曾报告遭到黑客攻击、黑客试图窃取数以十万人的资料,但未获成功。

今年 4 月,美国三大航空公司之一的达美航空披露,它的一家在线服务支持供应商可能存在某些漏洞,致使 10 万名达美会员的支付信息存在暴露风险。再加上日本航空、加拿大航空的两次资料外泄,过去五年全球民航业已经泄漏近 1000 万用户信息

运营商 Verizon 的一份报告显示,网络攻击对企业来说是一种日益普遍的威胁,风控官将网络安全列为最受关注的问题。它收购的雅虎一开始在 2016 年宣布 5 亿账户资料曾在 2013 年被黑客盗取,之后这一数字不断刷新,最后定格在 30 亿条。

类似互联网公司自己造成的安全问题几乎没消停过:去年年初有人发现支付宝在某些情况下可以修改好友的账号密码。通过“选好友”和“选买过的商品”之后,就能顺利登录然后用二维码付款消费;700 元可以买 58 同城全部简历;优酷遭遇过“上亿用户账号”的泄漏。

另外一家信息安全机构 Gemalto 统计的数据显示,2017 年全球超过 26 亿条信息记录遭到窃取、丢失或者存在暴露风险,较 2016 年增加 88%。

从事信息安全和 IT 运营的 Varonis 公司统计了 2013 年以来的全球信息泄漏报告,截至今年 7 月共计超过 97.27 亿条信息遭到泄漏,其中 62.19 亿条发生在美国。美国也是 Varonis 统计数据中唯一一个个人资料泄漏数超出 10 亿的国家(或地区)。

按照 Varonis 的数据,这段时间内全球每天平均超过 700 万条数据泄漏、每秒 56 条、每次数据泄漏成本是 326 万美元。但这种计算方式的准确性有待确定,通常这一数字指的是连带衍生损失。

高昂的代价还催生出新型保险产品。投行 Jefferies 曾因此看好英国保险公司 Beazley 的股价,因为全球各地的组织都在努力防范数据泄漏和相关威胁。Beazley 正在销售一款名为 Beazley Breach Response 的新险种,主要就是为遭到互联网信息泄漏事件的客户承保。

如果你担心自己的数字账号安全,可以参考《好奇心日报(www.qdaily.com)》介绍过的 7 个保护方法。

制图/冯秀霞

题图/WikiMedia

我们做了一个壁纸应用,给你的手机加点好奇心。去 App 商店搜 好奇怪 下载吧。