泄露900万客户数据,英国易捷航空面临1586亿元索赔

作者:深圳市网安计算机安全检测技术有限公司 | 国际 2020/05/29 15:48:18 39
信息泄露
文章来源:https://mp.weixin.qq.com/s/Hc_FvwOeA1FvhfJsLkqdww

因发生 900 万客户数据泄露一事(事件回顾),英国易捷航空正面临一场天价法律集体诉讼案。而新型冠状病毒肺炎继续肆虐全球,重创航空业,这让易捷航空处境愈加艰难。

泄露 900 万客户数据,面临千亿诉讼案

5 月 19 日,英国易捷航空(easyJet )宣布,公司遭遇一起网络攻击,导致近 900 万客户个人信息泄露,其中包括 2208 名客户的信用卡详细信息。

据悉,攻击者设法访问了相关的财务信息、电子邮件地址和旅行详细信息。

易捷航空已经开始将泄露事件通知所有受影响的客户,并建议他们“格外警惕,特别是他们收到未经请求的通信”。

同时,这家公司还将此事上报英国国家网络安全中心(NCSC)和英国资讯专员办公室(ICO)。作为数据监管机构,如果调查发现公司在数据保护和安全上没有采取严格措施,英国资讯专员办公室(ICO)有权力以 GDPR 为法律依据施以重罚。

目前,律师事务所 PGMBM 已经代表受影响的客户在伦敦高等法院提起集体诉讼,易捷航空负有 180 亿英镑(折合成人民币大约为 1586 亿元)的潜在赔偿责任,或者给予每名受影响的客户最多 2000 英镑赔偿。

众所周知,易捷航空数据泄露一事发生于 2020 年 1 月,虽然这家公司此时已经通知英国资讯专员办公室(ICO),但是直到四个月后才通知客户。

律师事务所 PGMBM 表示,“泄露的敏感个人数据包括全名、电子邮件地址、旅行数据(包括出发日期、到达日期和预定日期)。尤其是,对个人旅行方式的详细曝光可能会引发更高的安全风险和严重的隐私侵犯。”

这起集体诉讼案中,如果个人信息在安全事件中受影响,客户可以依据 GDPR 条例享有索取赔偿金的权利。

PGMBM 管理合伙人 Tom Goodhead 称这起“重大的”数据泄露给易捷航空的客户造成严重影响。

在巨额索赔之外,易捷航空正遭受疫情的严重冲击——飞机停飞、航班被砍、上座率持续走低…

从全球来看,情况也不容乐观。2 月 21 日,国际航空运输协会(IATA)对新冠肺炎疫情的初步评估显示,疫情将导致全球航空业总损失达到 293 亿美元,旅客需求量减少 4.7%。不到半个月后,国际航协大幅上调预测数字,预计 2020 年全球航空客运将损失 630 亿至 1130 亿美元,具体损失的规模将取决于新冠肺炎疫情的蔓延程度。

对这家公司而言,此次数据泄露的赔偿或罚款或许会成为压死它的最后一根稻草。

盘点近些年的航空数据泄露事件

一直以来,航空业的数据泄露并不为人所注意,而近年来,由于“不设防”、存在管理漏洞或系统漏洞等原因,航空业已经成为数据泄露的重灾区。

日本航空公司数据泄露

2014 年,日本航空公司 (JAL) 内部 20 台电脑遭到恶意软件袭击,开始主动向外部发送数据信息,其中 5 台电脑向顾客管理系统下达了调取数据的指令,并向其它电脑发送顾客信息,还有 3 台电脑将信息发送到了外部服务器。

此事导致 4131 名顾客个人信息泄露。泄露的数据包括会员号、会员办理时间、姓名、出生日期、性别、联系方式及其工作地相关信息等。

马印航空公司数据泄露

2019 年,卡巴斯基实验室披露马印航空及泰国狮航约 3000 万乘客的资料被上传存储在开放的亚马逊云服务中,同时有部分数据已经在暗网售卖。泄露的数据包括护照信息、住址和电话号码等,但付款信息并未遭到牵连。马印航空证实了数据泄露的消息。

英国航空公司数据泄露

2018 年 9 月,英国航空发生数据泄露事件,波及近 50 万顾客。2019 年,ICO 宣布,将对英国航空公司的 2018 年客户数据遭泄露事件开出 1.83 亿英镑罚单。

国泰航空数据泄露

2020 年 3 月 4 日,英国资讯专员办公室(ICO)发布公告称,因国泰航空未能有效保护客户个人信息安全,导致全球约 940 万客户的个人详细信息泄露,所以对国泰航空罚款 50 万英镑(约 451 万人民币)。据悉,泄露的个人信息包括姓名、护照资料、出生日期、电话号码、地址及旅行记录。

航空公司为何频频受到黑客“光顾”?

近年来,随着个人数据的价值越来越大,数据泄露频繁发生,一些用户数据的“洼地”成为网络攻击的主要目标,比如航空公司。

一方面,大型的航空公司航线遍布全球,连接着全球各地的机场、航站楼,承载着巨大的客户数量,因此航空公司能积累大量的数据。另一方面,乘坐飞机出行的客户,一般是高价值的商务类旅客,其个人数据价值更高。因此,航空公司往往日渐受到黑客的青睐,黑客窃取数据后,一般将数据转卖或在暗网交易,最后获取巨大利益。

推荐关注

指导单位
广东省公安厅网络警察总队 | 广东省信息安全等级保护协调小组办公室