【CNMO新闻】新加坡航空公司表示,软件故障是导致本次数据泄露的原因。数据泄露影响了该公司预计飞行的284名成员,损害了包括护照和航班细节在内的各项个人信息。新加坡航空在一封电子邮件中表示, 1月4日,该公司对网站进行修改,允许部分Krisflyer会员查看其他乘客的信息,之后“软件漏洞”浮出水面。
新加坡航空
一位发言人说,在对其系统日志进行审查后发现了284个这样的案例,其中277个可能暴露了会员的姓名、电子邮件地址、帐号、会员层状态、Krisflyer里程、最近的里程交易、预订的航班和Krisflyer奖励。这名发言人说,其余7个账户的护照信息可能已经泄露,不过,这些成员的账户没有任何变化,信用卡信息也没有泄露。
“我们已经确定,这是一个一次性的软件错误,不是由外部入侵我们的系统或会员帐户造成的。”事件发生在新加坡时间2019年1月4日凌晨2点至中午12点15分之间,目前问题已经得到了解决。
该航空公司表示,将联系所有受影响的客户,并已将本次数据泄露事件告知新加坡个人资料保护委员会。 该委员会负责监管与个人资料保护有关的事宜,并执行国家的《个人资料保护法》,在《个人资料保护法》中,被发现违反规定的公司,每宗客户投诉最高可被罚款1万新元(合7,325美元),累计有可能面临最高100万新元(合732,532美元)的罚款。
有相关报道显示,一位新加坡航空公司的客户在使用用户ID和密码登录到她的Krisflyer账户后,可以查看其他人的个人数据。这些细节包括另一名成员预订的旅程信息,包括目的地和出发日期,以及他最近的交易,比如他用信用卡积分兑换的英里数,以及他最近去东京的一次旅行。在联系新航客户热线时,客服人员通知她,新航正在进行系统升级,并告知她在24小时后注销账户并重新登录。对于新加坡航空这样的大公司来说,这样的失误是不可接受的。如果没有充分的测试,怎么能进行系统升级?客户们被这些公司挟持,他们要求客户提供个人信息,却不能保证数据的安全。当你要求我提供个人资料时,我希望你有足够的技术来确保资料的安全。
新加坡还有一项于2018年2月通过的网络安全法案,该法案概述了一个法律框架,涉及该国安全基础设施的管理,包括保护由9个关键信息基础设施(CII)部门运营的ICT系统,还包括政府、银行和金融、能源、水和航空这些运输部门。根据该法案,CII运营商必须确保其系统有足够的能力抵抗网络攻击。