保安提示:國泰航空及港龍航空乘客資料洩露事故
發佈日期: 2018年10月25日
4436 觀看次數
根據國泰航空於香港交易所的公告指出,國泰航空及其子公司港龍航空發現今年三月約有 940 萬名客戶資料遭未經授權存取。當中洩露的資料包括乘客姓名、國籍、出生日期、電話號碼、電郵地址、護照號碼、身份證號碼、居住地址、飛行常客計劃的會員號碼、顧客服務備註及過往的飛行紀錄。當中近 860,000 筆護照號碼、245,000 筆香港身份證號碼資料、403 張已逾期信用卡號碼以及 27 張無 CVV 安全碼的信用卡號碼資料被洩露及存取。國泰航空指他們已聘請網絡保安公司徹查事故,並已通知香港警方進行跟進及調查。
對企業及機構的建議
HKCERT 呼籲機構應改善及加強數據保護,以偵測任何未獲授權的資料存取及提防資料洩露事件發生。以下是相關建議:
- 訂立資料分類政策,分類機密及敏感資料,制定適當的控制措施。例如進行資料加密及設置適當的存取權限。
- 分隔企業內部網絡及對外服務的網絡。此外,應禁止直接由外部網絡對資料庫進行存取。對於大型網絡,應根據服務的敏感程度,考慮使用較仔細的網絡分段
- 考慮使用新型的防火牆(next-generation firewall)作應用程式控制。
- 定期對網站及網站應用程式(如電子商貿、線上付費等)執行漏洞掃描,找出潛在保安漏洞及不當設置。考慮針對較敏感的服務定期進行滲透測試。
- 定期安裝修補程式及修正設置問題。許多資料洩露的原因並非來自網絡攻擊,而是由於設定過高管理權限或沒有為數據儲存設定存取權限等不當的系統設置所造成。
- 加強特權帳戶的保安,並對其作出監察。尤其對於一些可從網站及雲端管理平台上公開登入的帳戶,應設立雙重認證。
- 除了保障企業的網絡基建外,亦須管理供應鏈伙伴(如服務供應商及承判商)的保安。應及早訂立商業伙伴的網絡及軟件開發週期被入侵時的應對措施。
- 保障你的資料及防止資料外洩。加密及掩蔽敏感資料。根據機構風險及成本評估,考慮於系統基建加入資料外洩防護方案(DLP),幫助防止及偵測資料外洩。
- 定期監測可疑網絡流量,包括非預期的外訪流量(例如大量流出的資料及可疑的 DNS 查詢)。使用保安訊息及事件管理(SIEM)系統收集由伺服器及用戶端發生的事件或警報, 以偵測異常事件或潛在入侵。
- 定期為員工提供資訊保安培訓及相關個案分享。舉行現實演習,如釣魚演習可找出用戶方面的弱點。
- 大型企業可建立收集及發現網絡威脅情報的能力以輔助偵測設施。
隨着傳媒對網絡保安的關注,及各監管機構訂立的新政策和法規,數據洩露不僅會損害公司的聲譽,還會造成實際的財務損失。例如,若機構業務涉足歐盟地區,違反一般資料保護規例(GDPR)可被罰款 2,000 萬歐元或機構全球收入的 4%。
若不幸發生數據洩露事件且當中涉及個人資料,機構應向個人資料私隱專員公署(PCPD)報告,並盡快通知受影響的客戶。
對用戶的建議
一般用戶可考慮採取以下保障措拖:
- 國泰航空指他們會聯絡所有受影響顧客。請留意該公司發出的最新資訊,同時亦可瀏覽由國泰航空設立的網站查閱最新公告:https://infosecurity.cathaypacific.com/zh_HK.html
- 提防利用國泰及港龍公司名稱或你的個人資料進行釣魚詐騙。
- 釣魚訊息能以電郵或電話傳播。
- 國泰會使用其網站內提及的寄件者地址作為是次資料洩露的通訊,但須留意電郵寄件者地址亦是可以偽冒的。
- 提訪以你的個人資料進行的釣魚詐騙。就算寄件者 / 來電者能正確講出你的個人資料,這些資料其實可能來自洩露的資料。若有任何疑問,建議聯絡寄件者 / 來電者公司的正式電郵/電話。
- 一般來說,勿於不明來歴的電郵按連結或打開附件檔。若有任何疑問,應向國泰查詢。
- 國泰為受影響乘客提供身份監察服務。
- 此服務為自願參與。提供多少資料作監察由你決定。
- 請注意此服務是由第三方供應商提供,並非由國泰或港龍提供。若使用服務須向第三方供應商提交你的個人資料。若此供應商亦遭攻擊洩露資料,你的個人資料可能會再次被洩露。建議決定使用前考慮相關風險。
- 若你決定使用該服務,請確保你到訪由國泰提供的真實連結。
- 若你有任何疑問,請聯絡國泰查詢相關資訊。
- 若你的信用卡曾於該公司進行交易,請檢查該信用卡的交易紀錄。
- 注意不尋常的信用卡交易短訊及電話通知。
國泰航空已設立電話專線供用戶查詢資料洩露相關事宜:800 933 287。若你對資料保安及用戶保安有任何疑問,可透過電郵 [email protected] 或致電 (852) 8105 6060 向 HKCERT 查詢。
相關連結
分享至