预订系统遭入侵,使得超过33万名客户的个人资料面临泄露风险,中欧航空旅游联盟公司,被个人资料保护委员会(PDPC)罚款4万7000元。
这起事件发生在2023年12月,公司三名员工的办公电脑,在同一晚间先后无法登入。初步调查没有发现任何恶意软件、勒索软件或异常情况。不过科技承包商工作人员仍对受影响电脑进行了重新格式化,以彻底移除任何可能存在的恶意软件。
然而公司后来收到媒体查询,指网上报道称黑客成功获取公司的资料,包括人力资源数据、客户信息和公司财务数据。
个人资料保护委员会说,在完成内部调查后,中欧航空旅游联盟承认,有不明人士在未经授权的情况下进入了公司的预定系统,并且很有可能是通过远程桌面协议(Remote Desktop Protocol)进行入侵。
公司也承认,预定系统中的33万6759名顾客的个人资料当中,一些可能外泄。不过黑客并没有向公司提出任何索求。
个人资料保护委员会表示,调查显示,公司的一些疏漏,导致客户资料外泄风险加剧,包括公司的伺服器仍使用已停止技术支援的旧版操作系统,行政账户也没有使用多重验证等。
尽管公司将科技管理工作外包给第三方供应商,但并没有同供应商明确列明安全漏洞修补、伺服器维护及资料保护责任的合约条款,也没有进行任何的安全审查。
中欧航空旅游联盟公司辩称,预订系统中并非所有资料外泄, 而且许多资料已过时或是重复性的。公司在事件发生后也已迅速采取补救措施。
但委员会认为,公司违反了《个人资料保护法令》下的数项规定,有鉴于此,委员会最终裁定,对公司处以4万7000元的罚款。
