Органът за защита на личните данни на Великобритания – Службата на комисаря по информацията или ICO, глоби Cathay Pacific Airways Limited 500 000 британски лири за неспособност да защити сигурността на личните данни на своите клиенти.
Между октомври 2014 г. и май 2018 г. Cathay Pacific не е предприело подходящи мерки за сигурност, които довели до излагане на лични данни на приблизително 9,4 милиона клиенти на авиокомпанията целия свят.
Неуспехът на авиокомпанията да осигури своите системи е довел до неоторизиран достъп до личните данни на пътниците, включително: имена, паспорт и данни за самоличност, дати на раждане, пощенски и имейл адреси, телефонни номера и историческа информация за пътуване.
Cathay Pacific е разбрало за слабостта при защитата на системите си през март 2018 г., когато нейната база данни била подложена на груба кибератака. Инцидентът накарал Cathay Pacific да наеме фирма за киберсигурност и те впоследствие съобщили за инцидента на Службата на информационния комисар (ICO).
ICO установило, че системите на Cathay Pacific са въведени чрез сървър, свързан към интернет и е бил инсталиран зловреден софтуер за събиране на данни. По време на разследването на ICO били намерени каталог с грешки, включително: резервни файлове, които не са защитени с парола; непакетирани сървъри, насочени към интернет; използване на операционни системи, които вече не се поддържат от разработчика, и недостатъчна антивирусна защита.
Стив Екерсли, директор на разследванията на ICO, каза:
„Хората с право очакват, когато предоставят личните си данни на компания, тези данни да бъдат запазени, за да се гарантира, че са защитени от всякакви потенциални вреди или измами. В случая това просто не беше така.”
„Съгласно законодателството за защита на данните организациите трябва да разполагат с подходящи мерки за сигурност и надеждни процедури, за да гарантират, че всеки опит за проникване в компютърните системи е възможно най-труден.“