La compagnia aerea internazionale Cathay Pacific, con sede nel Regno Unito, ha ricevuto una multa di 500.000 sterline dall’Ufficio del Commissario per le informazioni (ICO) per una violazione dei dati che si è verificata ininterrottamente tra ottobre 2014 e maggio 2018. Secondo l’avviso dell’ICO, circa 9,4 milioni di interessati sono stati colpiti dalla violazione, che ha fatto trapelare informazioni come nomi, nazionalità, date di nascita, numeri di telefono, indirizzi e-mail e numeri di passaporto dei clienti della Cathay Pacific in tutto il mondo.
La società è venuta a conoscenza della violazione solo nel 2018 dopo un attacco brute force ai loro sistemi. Mentre gli esperti investigavano sull’attacco a quel sistema, scoprirono che altri quattro sistemi all’interno dell’azienda erano già stati compromessi da due diversi aggressori, con i primi che avevano ottenuto accessi non autorizzati già quattro anni prima. L’esperto di Avast per la sicurezza Luis Corrons vede Cathay Pacific come un ammonimento, commentando: “Qualsiasi azienda può diventare una vittima – agli aggressori basta aver successo una volta sola. Ecco perché è fondamentale essere vigili e presumere sempre che gli attaccanti siano già nella tua rete. Il fatto che diversi attori siano stati all’interno della rete di Cathay Pacific per anni senza che la società se ne accorgesse dimostra che la sicurezza non era una delle loro maggiori preoccupazioni e sono fortunati ad uscirne solo con una multa”.
L’ICO ha citato una serie di carenze nella sicurezza dei dati dell’azienda, inclusi backup non crittografati, software obsoleto e facile accesso a Internet e ai server dell’azienda. Poiché la scoperta e la copertura della violazione sono avvenute prima dell’entrata in vigore del GDPR a maggio 2018, l’ICO ha basato l’ammenda sul Data Protection Act del 2018, invocando la sanzione massima consentita, che èappunto di 500.000 sterline. Secondo le linee guida del GDPR, l’ammenda sarebbe stata molto maggiore.
Lascia un commento