Cathay Pacific โดนปรับกว่า 20 ล้านบาทจากเหตุทำข้อมูลลูกค้ารั่ว

สายการบิน Cathay Pacific ถูกสั่งปรับเป็นเงิน £500,000 (ราว 20 ล้านบาท) จากเหตุความล้มเหลวในการปกป้องข้อมูลส่วนบุคคลของลูกค้าให้มั่นคงปลอดภัยในช่วงปี 2014 – 2018 ส่งผลให้ข้อมูลเกือบ 10 ล้านรายการรั่วไหลสู่ภายนอก

Credit: CathayPacific.com

Information Commissioner’s Office (ICO) ระบุว่า ช่วงระหว่างเดือนตุลาคม 2014 ถึงเดือนพฤษภาคม 2018 ที่ผ่านมา ระบบคอมพิวเตอร์ของสายการบิน Cathay Pacific ขาดมาตรการควบคุมด้านความมั่นคงปลอดภัยที่เหมาะสม ส่งผลให้ข้อมูลส่วนบุคคลของลูกค้าซึ่งประกอบด้วย ชื่อ พาสปอร์ต วันเกิด อีเมล เบอร์โทรศัพท์ ข้อมูลการเดินทาง และอื่นๆ จากลูกค้าในสหราชอาณาจักร 111,578 ราย และประเทศอื่นๆ ทั่วโลกราว 9,400,000 รายถูกเข้าถึงโดยมิชอบจากบุคคลภายนอก

ICO ยังระบุอีกว่า การโจมตีเกิดขึ้นเนื่องจากข้อมููลสำรอง (Backups) ไม่มีการใส่รหัสผ่านหรือเข้ารหัสไว้ เซิร์ฟเวอร์ที่เชื่อมต่อจากอินเทอร์เน็ตก็ไม่มีการแพตช์ช่องโหว่ มีการใช้ระบบปฏิบัติการที่ไม่มีการซัพพอร์ต การใช้แอนตี้ไวรัสไม่เหมาะสม รวมไปถึงการอนุญาตให้เข้าถึงระบบจากภายนอกได้โดยไม่มีการพิสูจน์ตัวตนแบบ 2-factor Authentication

Cathay Pacific เริ่มตระหนักถึงเหตุผิดปกติเมื่อเดือนมีนาคม 2018 โดยทราบจากการถูกโจมตีฐานข้อมูลผ่านการ Brute Force รหัสผ่าน หลังเกิดเหตุ Data Breach นานถึง 3 ปีครึ่ง หลังจากนั้นก็มีการส่งบริษัทด้านความมั่นคงปลอดภัยมาตรวจสอบเหตุการณ์ที่เกิดขึ้นและรายงานเรื่องไปยัง ICO

จากเหตุความผิดพลาดครั้งนี้ ทำให้ ICO สั่งปรับสายการบิน Cathay Pacific เป็นจำนวนเงินสูงถึง £500,000 ซึ่งเป็นเพดานสูงสุดของค่าปรับกฎหมายคุ้มครองข้อมูลปี 1998 ของสหราชอาณาจักรก่อนที่ GDPR จะประกาศบังคับใช้

ที่มา: https://www.zdnet.com/article/cathay-pacific-hit-with-500000-fine-for-customer-data-breach/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Black Hat Asia 2023] ทำลายห่วงโซ่: มุมมองของคนวงในเกี่ยวกับช่องโหว่ของห่วงโซ่อุปทานซอฟต์แวร์

ยินดีต้อนรับสู่มุมมองของคนวงในเกี่ยวกับช่องโหว่ของห่วงโซ่อุปทานซอฟต์แวร์ หัวข้อนี้ถูกนำเสนอโดยนักวิจัยด้านความปลอดภัยชื่อ Yakir Kadkoda และ Ilay Goldman จาก Aqua Security ซึ่งมีประสบการณ์มากมายในงานด้าน Red Team พวกเขาให้ข้อมูลเชิงลึกอันมีค่าเกี่ยวกับช่องโหว่ที่แฝงตัวอยู่ในช่วงการพัฒนาซอฟต์แวร์ ที่เผยถึงความเสี่ยงที่องค์กรต้องเผชิญในการรักษาความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์

[Black Hat Asia 2023] สรุป Keynote วันที่ 1 เรื่อง “เตรียมตัวสำหรับการเดินทางอันยาวนานเพื่อความปลอดภัยของข้อมูล”

ข้อมูลถือเป็นปัจจัยที่ 5 ของการผลิต และความปลอดภัยของข้อมูล (Data Security) ก็ได้รับการจัดอันดับให้มีความสำคัญสูงสุดโดยรัฐบาลทั่วโลก ในประเทศจีน กฎหมายที่เกี่ยวข้องกับความปลอดภัยข้อมูล เช่น “กฎหมายความปลอดภัยของข้อมูล” และ “กฎหมายคุ้มครองข้อมูลส่วนบุคคล” ได้รับการประกาศใช้และมีผลบังคับใช้ในปี 2565 …