(圖:中歐航旅網站)
預訂系統遭入侵,使得超過33萬名客戶的個人資料面臨泄露風險,中歐航空旅遊聯盟公司,被個人資料保護委員會(PDPC)罰款4萬7000元。
這起事件發生在2023年12月,公司三名員工的辦公電腦,在同一晚間先後無法登入。初步調查沒有發現任何惡意軟體、勒索軟體或異常情況。不過科技承包商工作人員仍對受影響電腦進行了重新格式化,以徹底移除任何可能存在的惡意軟體。
然而公司後來收到媒體查詢,指網上報道稱黑客成功獲取公司的資料,包括人力資源數據、客戶信息和公司財務數據。
個人資料保護委員會說,在完成內部調查後,中歐航空旅遊聯盟承認,有不明人士在未經授權的情況下進入了公司的預定系統,並且很有可能是通過遠程桌面協議(Remote Desktop Protocol)進行入侵。
公司也承認,預定系統中的33萬6759名顧客的個人資料當中,一些可能外泄。不過黑客並沒有向公司提出任何索求。
個人資料保護委員會表示,調查顯示,公司的一些疏漏,導致客戶資料外泄風險加劇,包括公司的伺服器仍使用已停止技術支援的舊版作業系統,行政帳戶也沒有使用多重驗證等。
儘管公司將科技管理工作外包給第三方供應商,但並沒有同供應商明確列明安全漏洞修補、伺服器維護及資料保護責任的合約條款,也沒有進行任何的安全審查。
中歐航空旅遊聯盟公司辯稱,預訂系統中並非所有資料外泄, 而且許多資料已過時或是重複性的。公司在事件發生後也已迅速採取補救措施。
但委員會認為,公司違反了《個人資料保護法令》下的數項規定,有鑒於此,委員會最終裁定,對公司處以4萬7000元的罰款。
