GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Poważne naruszenie u narodowego przewoźnika

Lecący samolot Malezyjskich Linii Lotniczych

London Heathrow, United Kingdom - August 28, 2015: A Malaysia Airlines Airbus A380 with the registration 9M-MNE taking off from London Heathrow Airport (LHR) in the United Kingdom. The Airbus A380 is the world's largest passenger airliner. Malaysia Airlines is the flag carrier airline of Malaysia based in Kuala Lumpur.

Zagraniczne media donoszą, że u malezyjskiego narodowego przewoźnika lotniczego (Malaysia Airlines) doszło do naruszenia bezpieczeństwa danych osobowych, wskutek którego dane osobowe klientów mogły paść łupem cyberprzestępców. Potencjalnie pokrzywdzonymi są osoby, które korzystały z programu lojalnościowego tej linii lotniczej (Program Enrich). Według informacji przekazanych przez przedstawicieli giganta, winowajcą całego zamieszania jest zewnętrzny dostawca usług IT.

Zaskakujący e-mail

Zgodnie z doniesieniami, klienci korzystający z programu lojalnościowego Enrich otrzymali w ostatnim czasie wiadomość e-mail, w której malezyjski przewoźnik poinformował o incydencie związanym z bezpieczeństwem danych osobowych u zewnętrznego dostawy usług IT. Zdarzenie dotyczyć ma danych osobowych podróżnych zarejestrowanych w systemie między marcem 2010 r., a czerwcem 2019 r. Ich zakres obejmuje imiona, nazwiska, daty urodzenia, dane kontaktowe oraz inne informacje dotyczące członków programu lojalnościowego, takie jak numery klienta oraz status członkowski.

Przewoźnik zaleca zmianę hasła

Malezyjskie linie lotnicze poinformowały swoich pasażerów, że w wyniku przedmiotowego naruszenia bezpieczeństwa danych osobowych, nie zostały zagrożone informacje dotyczące podróży, do których zalicza się plany podróży, dokonane rezerwacje, zakupione bilety, informacje o dokumentach podróży, jak również szczegóły dotyczące płatności. Bezpieczne – zdaniem przewoźnika – mają być również hasła dostępowe do kont członkowskich.

W ocenie giganta, nie ma dowodów na to, że jakiekolwiek dane osobowe pasażerów zostały wykorzystane przez osoby trzecie w niewłaściwy sposób. Pomimo tego, zalecił on pasażerom korzystającym z programu lojalnościowego Enrich, aby zmienili swoje hasła dostępowe. Przewoźnik uruchomił również dedykowany adres poczty elektronicznej, na który klienci mogą kierować zapytania dotyczące tego zdarzenia.

Co ciekawe, poza wyżej wskazanymi działaniami, malezyjskie linie lotnicze nie odniosły się publicznie do sprawy poprzez np. publiczne oświadczenie lub zamieszczenie stosownych informacji na swojej stronie internetowej.

Naruszenie dotyczy też innych przewoźników

Z informacji publikowanych w portalu społecznościowym Twitter wynika, że malezyjski przewoźnik potwierdził, że naruszenie bezpieczeństwa danych osobowych miało miejsce w systemach informatycznych zewnętrznego dostawcy usług IT. Aktualnie, gigant bada – we współpracy z felernym kontrahentem – zakres oraz przyczyny zdarzenia, jak również stale monitoruje wszelkie podejrzane operacje na kontach potencjalnie poszkodowanych osób.

Co ciekawe, wskazuje się, że naruszenie bezpieczeństwa danych osobowych u wskazanego dostawcy usług IT może mieć dużo większy zasięg. Z jego usług korzystały bowiem również inne linie lotnicze, w tym Singapure Airlines, Jeju Air, czy Finnair. W najbliższym czasie prawdopodobnie spodziewać się możemy więc podobnych działań zaradczych u innych przewoźników.

Na tę chwilę nie wiadomo, czy wśród pasażerów potencjalnie dotkniętych tym zdarzeniem są obywatele Unii Europejskiej. Nie wykluczone jednak, że sprawą mogą zainteresować się unijne organy właściwe do spraw ochrony danych osobowych. Warto przypomnieć, że duże naruszenia ochrony danych osobowych dotyczące klientów linii lotniczych występowały już w przeszłości. Niektóre z nich zakończyły się dla przewoźników surowymi karami finansowymi (o zdarzeniach tych pisaliśmy TUTAJ: https://gdpr.pl/linie-lotnicze-british-airways-nie-uniknely-wysokiej-kary; https://gdpr.pl/ogromny-wyciek-danych-w-easyjet; https://gdpr.pl/aktualnosci/linia-lotnicza-ukarana-przez-ico).

Źródła:

https://www.zdnet.com/article/malaysia-airlines-suffers-data-security-incident-spanning-nine-years/

https://www.zdnet.com/article/singapore-airlines-frequent-flyer-members-hit-in-third-party-data-security-breach/