La Oficina del Comisario de Información (ICO) multó a Cathay Pacific Airways con 500.000 libras esterlinas por no proteger los datos personales de sus clientes.
La ICO dijo que la aerolínea había expuesto datos personales de 111.578 residentes en el Reino Unido, además de otros 9,4 millones de personas de otros países.
Los datos comprometidos incluyen los nombres de los clientes, detalles del pasaporte, fechas de nacimiento, números de teléfono, direcciones e historial de viajes.
"La seguridad adecuada" no existía entre octubre de 2014 y mayo de 2018.
La ICO dijo que Cathay Pacific se dio cuenta de un problema en marzo de 2018, cuando sufrió un ataque de adivinación de contraseñas por "fuerza bruta".
La compañía, con sede en Hong Kong, denunció la infracción a la OIC. El regulador descubrió posteriormente "un catálogo de errores" durante una investigación de seguimiento, entre ellos:
-
archivos de copia de seguridad que no estaban protegidos por contraseña
-
servidores con acceso a Internet sin los últimos parches
-
sistemas operativos que ya no eran compatibles con el desarrollador
-
protección antivirus inadecuada
Al menos un ataque afectó a un servidor con una vulnerabilidad conocida, pero la solución nunca se aplicó, a pesar de ser de dominio público desde hace más de 10 años.
Steve Eckersley, director de investigaciones de la ICO, dijo que había "una serie de deficiencias básicas de seguridad en el sistema de Cathay Pacific, que facilitaron el acceso a los hackers".
La aerolínea suspendió cuatro de las cinco orientaciones básicas sobre ciberseguridad del Centro Nacional de Ciberseguridad, añadió.
La multa de 500.000 libras a la que se enfrenta ahora Cathay Pacific es la máxima posible en virtud de la Ley de Protección de Datos de 1998, que se utilizó en lugar del GDPR "debido al momento en que se produjeron los incidentes en esta investigación".
En julio de 2019, el ICO anunció que multaría a British Airways con 183 millones de libras. por una violación de sus sistemas, y la Grupo hotelero Marriott 99,2 millones de libras. Pero ambas multas se retrasaron hasta finales de este año.
La ICO dijo que Cathay Pacific había actuado rápidamente una vez que se dio cuenta, y buscó la ayuda de expertos de una empresa de ciberseguridad superior, y también se puso en contacto con los clientes afectados.
El informe también señalaba que no había casos confirmados de uso indebido de los datos personales, pero que era muy probable que se produjera en el futuro.
En un comunicado sobre la multa, Cathay Pacific dijo que "desea expresar una vez más su pesar y pedir sinceras disculpas por este incidente".
Dijo que se habían gastado "cantidades sustanciales" de dinero en seguridad en los últimos tres años.
"Sin embargo, somos conscientes de que en el mundo actual, a medida que la sofisticación de los ciberatacantes sigue aumentando, necesitamos y seguiremos invirtiendo y evolucionando en nuestros sistemas de seguridad informática."
Fuente: BBC News