สายการบิน Cathay Pacific ถูกสั่งปรับเป็นเงิน £ 500,000 หรือราว 20 ล้านบาท จากเหตุความล้มเหลวในการปกป้องข้อมูลส่วนบุคคลของลูกค้าให้มั่นคงปลอดภัยในช่วงปี 2014 – 2018 ส่งผลให้ข้อมูลเกือบ 10 ล้านรายการรั่วไหลสู่ภายนอก
Information Commissioner’s Office หรือ ICO ระบุว่า ในช่วงระหว่างเดือนตุลาคม 2014 ถึงเดือนพฤษภาคม 2018 นั้น ระบบคอมพิวเตอร์ของสายการบิน Cathay Pacific ขาดมาตรการควบคุมด้านความมั่นคงปลอดภัยที่เหมาะสม ส่งผลให้ข้อมูลส่วนบุคคลของลูกค้าซึ่งประกอบไปด้วย ชื่อ พาสปอร์ต วันเกิด อีเมล์ เบอร์โทรศัพท์ ข้อมูลการเดินทาง และอื่นๆ จากลูกค้าในสหราชอาณาจักรกว่า 111,578 ราย และประเทศอื่นๆ ทั่วโลกราว 9,400,000 รายถูกเข้าถึงโดยมิชอบจากบุคคลภายนอก
ICO ยังระบุอีกว่า การโจมตีเกิดขึ้นเนื่องจากข้อมููลสำรอง (Backups) ไม่มีการใส่รหัสผ่านหรือเข้ารหัสไว้ เซิร์ฟเวอร์ที่เชื่อมต่อจากอินเทอร์เน็ตก็ไม่มีการแพตช์ช่องโหว่ใดๆ มีการใช้ระบบปฏิบัติการที่ไม่มีการซัพพอร์ต การใช้แอนติไวรัสไม่เหมาะสม รวมไปถึงการอนุญาตให้เข้าถึงระบบจากภายนอกได้โดยไม่มีการพิสูจน์ตัวตนแบบ 2-factor Authentication
Cathay Pacific เริ่มตระหนักถึงเหตุผิดปกติเมื่อเดือนมีนาคม 2018 โดยทราบจากการถูกโจมตีฐานข้อมูลผ่านการ Brute Force รหัสผ่าน หลังเกิดเหตุ Data Breach นานถึง 3 ปีครึ่ง หลังจากนั้นก็มีการส่งบริษัทด้านความมั่นคงปลอดภัยมาตรวจสอบเหตุการณ์ที่เกิดขึ้นและรายงานเรื่องไปยัง ICO
จากเหตุความผิดพลาดครั้งนี้ ทำให้ ICO สั่งปรับสายการบิน Cathay Pacific เป็นจำนวนเงินสูงถึง £ 500,000 ซึ่งเป็นเพดานสูงสุดของค่าปรับกฎหมายคุ้มครองข้อมูลปี 1998 ของสหราชอาณาจักรก่อนที่ GDPR จะประกาศบังคับใช้
ขอขอบคุณแหล่งที่มา :