The Information Commissioner’s Office (ICO) telah menjatuhkan denda sebesar  500.000 pound kepada Cathay Pacific karena mengungkapkan data pribadi sebanyak 9,4 juta penumpang yang 111.578 di antaranya berasal dari Inggris.

Pelanggaran data yang terjadi antara Oktober 2014 dan Mei 2018, mengekspos nama penumpang, paspor dan rincian identitas, tanggal lahir, alamat pos dan email, nomor telepon, dan riwayat perjalanan, serta 430 nomor kartu kredit, 27 di antaranya aktif.

Akses yang tidak sah pertama kali dicurigai pada Maret 2018, ketika basis data Cathay mengalami serangan brute force dan dikonfirmasi pada Mei 2018. Seorang juru bicara Cathay Pacific mengatakan pada saat itu bahwa kombinasi data yang diakses bervariasi untuk setiap penumpang yang terkena dampak.

Investigasi ICO menemukan bahwa sistem Cathay dipengaruhi oleh malware yang memanen data. Beberapa kesalahan keamanan Cathay ditemukan di sepanjang jalan, termasuk file cadangan yang tidak dilindungi kata sandi, server yang tidak ditambal, OS yang tidak mendukung, dan perlindungan antivirus yang tidak memadai.

Denda 500.000 pound tersebut adalah hukuman maksimum yang dapat diterapkan berdasarkan Data Protection Act 1998. Undang-undang ini digantikan oleh GDPR, tetapi karena waktu pelanggaran Cathay terjadi sebelum GDPR berlaku, maka kasusnya diselidiki berdasarkan aturan lama.

Sebelumnya, ICO mendenda British Airways dengan rekor denda 183 juta poundsterling bulan lalu, setelah pelanggaran pada 2018 mengungkapkan sekitar 500.000 rincian penumpang.

Sumber: The Register