【國泰洩私隱】國泰再解畫 指調查冗長因「給乘客具意義的通知」
國泰航空上月公布,今年3月發生客戶資料私隱外洩事件,940萬名乘客資訊被「不當取覽」,當中包括乘客護照號碼、身份證號碼、信用卡號碼等個人資料。
國泰今(12日)日在提交予立法會的文件中指,調查時間冗長因有三個階段,第一是在初步調查間仍不斷受到網絡攻擊,其次是需找出哪些乘客的資料被洩漏,最後則是要確認被取覽的資料類別,以給予受影響乘客「具意義的通知」。
立法會政制事務委員會、保安事務委員會及資訊科技事務委員會將於本周三(14日)召開聯席特別會議,跟進國泰乘客資料外洩事件。
國泰今(12日)日在提交予立法會的文件中,提到希望向公眾表達深切的遺憾,及向受影響的乘客誠懇致歉。國泰稱,由於調查工作艱巨複雜,較預期需時,故未能早日完成;而國泰表示,根據他們的分析,大部分受影響的乘客被取覽的資料限於姓名及電話,或姓名及電郵。
國泰:沒有任何一位乘客資料被整套取覽
國泰強調,付款系統是「具有適當的遮蓋功能」,故此沒有一套完整的信用卡資料曾被取覽,僅有部分因錯誤輸入非儲存信用卡資料欄位的曾被取覽,而這類信用卡大部分已過期;國泰又確認沒有任何一位乘客或常客的資料被整套取覽,亦沒有任何乘客密碼外洩。
至於為何調查時間冗長,國泰表示,調查分為三個階段,第一是調查、控制及補救,此階段由今年三月開始,當時他們在系統發現可疑活動跡象,故當時立即採取行動了解並堵截,惟系統在三月、四月及五月仍不斷遭受攻擊,此亦令第二階段的工作更冗長及複雜。
而在第二階段,國泰指需面對兩大問題,一是哪些乘客的資料被洩漏,以及被取覽的資料是否可在國泰以外的系統被重建為可閱讀,國泰認為要找出答案是十分困難及耗時,最終在8月中旬才能得到答案。
在最後一個階段,國泰轉移至確認被取覽的資料類別,他們強調因希望給予乘客一個單一、準確及具意義的通知,故此直至10月24日才完成。
國泰重申,是次受到的攻擊是既精密且先進,又涉及數個複雜的系統,所以延長了向公眾公布的時間,亦指他們在事件中吸取了許多教訓,並再次向受影響的乘客致歉。