國泰港龍近千萬客私隱外洩　專家指事態嚴重促公署懲處

國泰航空公布，發現公司及其全資子公司港龍航空有限公司的部分乘客資料曾被未獲授權取覽。國泰表示，大約940萬位乘客的資料曾被不當取覽，但就指無證據顯示任何個人資料曾被不當動用；受影響的資訊系統與航班運作系統為獨立的系統，強調是次事件不會對航班安全構成任何影響。國泰航空行政總裁何杲就事件致歉。警方回覆指，有關機構已與警方聯絡，警方正了解事件。

國泰於2018年3月首次在其系統發現可疑活動，發現事件後，已即時採取行動阻止事件發展，及由一間行業領先的網絡安全公司的協助下展開全面調查，同時進一步加強資訊系統保安措施。國泰於2018年5月初確認個人資料曾被未獲授權取覽。自此一直緊密分析相關資料，以盡快識別受影響的人士及確認資料可否被重建。

受到未獲授權取覽的個人資料包括乘客姓名、國籍、出生日期、電話號碼、電郵及實際地址、護照號碼、身份證號碼、飛行常客計劃會員號碼、顧客服務備註及過往的飛行紀錄資料。

此外，有403張已逾期的信用卡號碼曾被不當取覽。另有27張無安全碼的信用卡號碼曾被不當取覽。每位受影響的乘客被不當取覽的資料有所不同。沒有任何乘客的旅行及常客計劃資料被全部取覽，亦沒有任何密碼外洩。大約86萬個護照號碼及24.5萬個香港身份證號碼曾被不當取覽。國泰現正聯絡受影響的乘客，並已經通報香港警務處及正在通報有關當局。

電腦保安專家羅少輝表示，外洩的客戶資料數目十分龐大，他認為若國泰有做好數據防外洩的電腦保安工作，應該可以更早發現問題。他指，不排除黑客是利用釣魚電郵偷取員工帳號，再以帳號登入系統取得資料。他稱，一般而言涉及客戶個人資料的敏感資料，除定期重設有權限取得相關資料的人士的帳戶密碼外，亦可能要求兩人同時輸入部分密碼以組成一個新密碼方可讀取資料，同時應有數據防外洩工具監察，當相關資料被人向外傳輸或抄錄至儲存裝置時，會即時被攔截或需先取得授權才可進行。

《國泰航空，愈做愈燶》專頁：http://hk.on.cc/fea/cx/