國泰航空(293)及其全資子公司港龍航空,約940萬名乘客資料外洩。國泰早於3月發現資料異動、5月確認有乘客的個人資料曾被未獲授權取覽,惟到昨日(10月24日)才通報警方及私隱專員公署,並於同日晚上發通告公開事件,國泰在未來一、兩日陸續發信通知受影響乘客。國泰航空客戶及商務總監盧家培解釋,國泰需時了解事件,不要製造「無謂恐慌」。
盧家培周四早上接受港台《千禧年代》訪問,表示逾半受影響個案,僅涉及姓名加電郵,或姓名加電話,沒有密碼、亞洲萬里通里數、馬可孛羅會帳戶資料受影響。他在主持追問下補充,有乘客的護照號碼、飛機航班號碼、信用卡資料外洩,但他指受影響的430張信用卡中,403張事發時已逾期,27張沒有整套信用卡資料,故他相信沒有財務資料受影響。
立法會資訊科技界議員莫乃光認為,國泰以需時調查事件作延誤通報的解釋並不可接受,他又促國泰交代有多少香港乘客受影響。民主黨立法會議員尹兆堅批評,國泰對今次事故的處理手法「極度惡劣」。
國泰航空客戶及商務總監盧家培今早接受港台《千禧年代》訪問,解釋他們在3月的日常網絡保安檢查中,發現有資料出現異動,「有啲資料俾人攞過、處理過」,例如在系統A的資料去了系統B,相關情況不是正常運作中應該發生。不過,他指初時未能肯定實際情況,事件涉及的資訊量不少,部分資料凌碎,他們需時了解事件,包括涉及哪位乘客、哪些資料。大約到5月,他們比較掌握到情況,確認個人資料曾被未獲授權取覽、被「非法瀏覽」。
為何5月不公布事件?盧家培回應指,當時只是見到事件的一些「端倪」,故他們採取的方法是不宜倉卒,要小心了解事件,不要製造「無謂恐慌」。「去到而家呢個情況,我哋係好了解,究竟每一個客戶,受影響嘅情況係點,從而喺嚟緊呢段時間,如果係受影響客戶,會收到個個人化嘅通知,究竟你個情況,係乜嘢資料受到影響。」
盧家培澄清,昨日有報道詳細說明可能受影響的資料,但其實大部分、「超過一半以上」情況,「只係姓名加電郵,或者姓名加電話。所以其他嗰啲資料……唔係會有啲乘客有大批、同一時間有所有資料唔見晒。」他強調,事件沒有涉及比較敏感的資料,沒有密碼、亞洲萬里通里數、馬可孛羅會帳戶資料受影響。
他在主持追問下補充,有乘客的護照號碼、飛機航班號碼亦受影響。他又承認,事件牽涉430張信用卡資料,當有403張事發時已逾期,27張沒有整套信用卡資料,故他相信沒有財務資料受影響。盧家培指,國泰昨日就事件報警及通知私隱專員公署,目前正發信通知受影響乘客,相關乘客會陸續在在未來一、兩日內收到通知。
被問到受影響乘客為何要等上一、兩日才收到通知,盧家培解釋,很多網絡供應商都不准許同一時間大量發出電郵,「我哋都好想一下子就所有牽涉到嘅乘客即刻都收到信,我哋都係想,但實際上係唔容許。」盧建議乘客先留意國泰的電郵,如有其他需要或問題,國泰樂意與他們接觸,亦會根據個別情況,作酌情處理。
國泰航空事件設立專屬網站、顧客專線及查詢電郵:
專屬網站:infosecurity.cathaypacific.com
顧客專線:800 933 287 (香港)
查詢電郵:[email protected]
盧家培指,事發後國泰已在第一時間堵塞保安漏洞,而且不停更新及提升保安設施。至於3月至今有沒有其他資料異動?盧回應指,沒有證據顯示有其他入侵。
私隱專員黃繼兒回應事件指,顧客視國泰作有信譽、為香港人的航空公司,有較高的期望,國泰的做法未必符合乘客期望。黃續指,機構會否匯報資料外洩,在香港現行法律上是自願性質,惟按歐盟最新的規例,如發生資料外洩事故,相關機構須在72小時內通知監管機構,國泰的做法或被視作違規。
立法會資訊科技界議員莫乃光,對國泰延誤向市民及監管機構通報事件表示關注。他批評,由3月至10月至今長達半年,是非常長時間的延誤,而國泰以需時調查事件作解釋並不可接受。他期望私隱專員公署對事件時序及技術上的問題作詳細調查。他又指出,國泰作為香港的航空公司,以香港為基地,相信受影響的乘客多屬香港人,惟國泰未有公布相關數據,他促國泰交代清楚。
民主黨立法會議員尹兆堅亦回應指,國泰3月發現事故,到昨晚才公布,是管理失效,國泰在事件難辭其咎,「唔怪得國泰近年有個花名叫『因航』」。尹又批評,國泰在早前的聲明中未有提及怎樣承擔責任,處理手法「極度惡劣」。
