因管理不善而在全球最佳航空公司排名榜節節下跌的國泰航空及全資子公司港龍航空,爆出歷來最嚴重的乘客個人資料外洩大災難,最離譜是國泰「閉門調查」超過半年後始公布事件,因延遲公布消息或牴觸歐盟新例,面臨罰款近四十億元,成為國際醜聞。國泰認衰後愈揭愈多,指約九百四十萬名乘客個人資料外洩,涉五萬個香港特區護照及廿四萬五千個香港身份證號碼,受影響乘客在兩日內收到通知。消息稱,國泰直至昨日才報警錄口供,只交懷疑有問題的電腦資料予警方,初步不排除網絡系統被黑客入侵。
受外洩事件影響的乘客被不當取覽資料各有不同,超過一半是姓名及電郵或姓名及電話資料,其餘包括國籍、出生日期等,牽涉約八十六萬個護照號碼及四百三十張信用卡。國泰早於今年三月已發現異常,委託保安公司內部調查,隱瞞長達七個月至前晚才發出公告及通知警方,昨日才安排職員在律師陪同下向警方報案及錄口供,案件現交由網絡安全及科技罪案調查科跟進。警方發言人表示,昨日接獲相關報案,案件暫列作「有犯罪或不誠實意圖而取用電腦」,交由網絡安全及科技罪案調查科跟進,暫時無人被捕。
據了解,國泰職員複製部分懷疑有問題的電腦執行記錄檔(LOG)及痕迹(FOOTPRINT)交予警方。而國泰伺服器(SERVER)委託多間公司儲存大量數據,包括乘客資料,並儲存於雲端,暫未知黑客是否從雲端瀏覽國泰乘客的資料。消息續指,國泰數據中心內儲存不少應用程式,分布在約五個不同顏色的區域,包括招募系統、內部員工系統、買機票系統及貨運系統,乘客資料儲存在保安最高區域。由於黑客起初入侵但無做特別活動,以為是惡作劇,但後來黑客不停轉換網路協定位址(IP),如香港飛去澳洲再去台灣和馬尼拉等,外聘保安公司協助追查亦因IP位址虛假而掌握不到黑客的動向。
根據歐盟今年五月生效的《通用數據保障條例》(GDPR)規定,企業資料外洩事故,應在得悉事件後七十二小時內通報,只要今次受影響的乘客中有歐盟公民,便須受條例約束。換言之,國泰延遲公布消息,或面臨公司全球總收入百分之四或二千萬歐元(約一億七千五百萬港元)罰款,計算以較高者為準。據國泰航空一七年總收入九百七十二億八千四百萬元計,若罰款百分之四,相當於卅八億九千萬元。
受消息拖累,國泰股價昨日早段急挫百分之六點七,低見九點九元,創逾九年以來新低,收市報十點二二元,下跌百分之三點七。該公司股價近月拾級而下,以昨日收市價計,較今年內高位累跌逾三成。至於集團今年上半年業績繼續「見紅」,錄得虧損二點六三億元。高盛發表報告指,預期事件對國泰航空的形象帶來負面影響,且要面對可能出現的罰款及乘客索償的風險。
交銀國際報告亦表示,潛在罰款為國泰航空的前景帶來了不確定因素,事件拖累該公司股價下跌,更相信短期內股價將會繼續低迷,因此該行將會調整其盈利預測及投資評級。
另外,英國《每日郵報》昨晚報道,與國泰航空同屬寰宇一家的英國航空公司,繼上月公布有三十八萬客戶資料因黑客入侵外洩後,再有十八萬五千客戶資料外洩。