Cathay Pacific waarschuwt voor diefstal van gegevens 9,4 miljoen passagiers

Criminelen wisten de it-systemen van Cathay Pacific binnen te dringen en gegevens van 9,4 miljoen klanten van de luchtvaartmaatschappij buit te maken. Het gaat onder andere om paspoortnummers en reisgegevens.

De diefstal van de gegevens vond plaats na het binnendringen van 'enkele informatiesystemen met passagierdata van 9,4 miljoen mensen', volgens Cathay Pacific, zonder te melden hoe de aanval plaatsvond en wanneer deze ontdekt werd. Wel zou de luchtvaartmaatschappij 'meteen' actie hebben ondernomen. Onder andere is een niet nader genoemd beveiligingsbureau in de arm genomen en zijn aanvullende beveiligingsmaatregelen doorgevoerd.

Bij de diefstal zijn gegevens over nationaliteit, geboortedatum, telefoonnummer, e-mailadres, paspoortnummer, identiteitskaartnummer, frequentflyernummer en reisgegevens ontvreemd. Daarnaast gaat het om nummers van 403 verlopen creditcards en 27 creditcards zonder cvv. Het bedrijf meldt dat het nog niet gestuit is op misbruik in de praktijk. Verontruste klanten kunnen contact opnemen met Cathay Pacific.

Reacties (52)

Kenzi 25 oktober 2018 02:51

wanneer deze ontdekt werkt

Dit is wel bekend. Het was al in Maart dit jaar.

https://www.scmp.com/news...engers-cathay-pacific-and

Absurd dat ze er zo laat mee komen.

boyette 25 oktober 2018 19:41

Ik heb zojuist een brief gekregen van cathay waarin men uitlegd dat mijn persoonsgegevens zijn gestolen

wijziging:

de volledige brief:

Dear Mr ...

We are contacting you to make you aware of a data security event that involves some of your personal data. We are very sorry for any concern that this event may cause you, and this notice will provide you with information about what happened and how we can assist you.

What happened?

As part of our ongoing IT security processes, we discovered unauthorised access to some of our passenger data.

We initially discovered suspicious activity on our network in March this year. Upon discovery, we took immediate action to contain the event, to commence a thorough investigation with the assistance of a leading cybersecurity firm, and to further strengthen our IT security measures. Unauthorised access to certain personal data was confirmed in early May. Since that time, analysis of the data has continued in order to identify affected individuals and to determine whether the data at issue could be reconstructed.

We have no evidence that any personal data has been misused. We recommend that you follow the steps outlined in this notice to help protect yourself against potential risks.

What information was involved?

The following types of personal data about you were accessed:

Address
Name
Title
Your travel or loyalty profile was not accessed in full, and your password was not compromised.

What are we doing to help?

You can find more information at our dedicated website, infosecurity.cathaypacific.com.

Where available in your country, we are offering ID monitoring services to affected passengers. This will be provided by Experian, a global data and information service provider. This service (IdentityWorks Global Internet Surveillance) monitors if your personal data may be available on public websites, chat rooms, blogs, and non-public places on the internet where data can be compromised such as dark web sites.

This is an optional service, and how much information to include in the identity monitoring is completely at your discretion.

The information you provide to Experian will only be used by Experian for the sole purposes of identity monitoring. It will not be published to any other entity.

Please visit the following website: http://www.globalidworks.com/identity1 and click the Get Started button to activate this 12 month complimentary service. You can then enter your personalized activation code: D6TXBC83C to start your IdentityWorks Global Internet Surveillance.

We have notified, or are notifying, the relevant authorities and the Hong Kong Police.

What should I do?

Although no-one’s travel or loyalty profile was accessed in full and no passwords were compromised, as best practice, we recommend that you consider:

changing your passwords regularly;
checking for any suspicious activity; and
being vigilant against phishing or other attempted scams.

To date, there is no evidence of misuse. However, it is possible that the personal data could be misused for unauthorised purposes such as fraud or identity theft.

As mentioned above and where available in your country, we are offering ID monitoring services to affected passengers. Please visit the following website : http://www.globalidworks.com/identity1 and click the Get Started button to activate this 12 month complimentary service using your personalized activation code above.

For more information

If you have any further questions about the event, you can contact us by:
visiting our dedicated website at infosecurity.cathaypacific.com;
call our dedicated call centre (toll free numbers available at infosecurity.cathaypacific.com); or
emailing us at infosecurity@cathaypacific.com.
We want to reassure you that there is no impact on flight safety as the IT systems affected are totally separate from our flight operations systems, and that we continue to take measures to enhance our IT security. Your safety and security remains our top priority.

Yours sincerely,

Rupert Hogg
Chief Executive Officer
Cathay Pacific Airways Limited

For your information:

Asia Miles is owned by, and provided to members by Cathay Pacific Airways Limited, and is managed and operated by Asia Miles Limited, a wholly owned subsidiary of Cathay Pacific Airways Limited, as an agent of Cathay Pacific Airways Limited.

Hong Kong Dragon Airlines Limited is a wholly owned subsidiary of Cathay Pacific Airways Limited and Cathay Pacific Airways Limited manages and provides IT support services to Hong Kong Dragon Airlines Limited.

The ID Monitoring Services are available in Australia, Brazil, Canada, France, Germany, Hong Kong, India, Ireland, Italy, Mexico, Netherlands, New Zealand, Norway, Poland, Singapore, United Kingdom and United States.

The Activation Code for the ID Monitoring Services will expire on 30 April 2019.

[Reactie gewijzigd door boyette op 3 augustus 2024 22:58]

Morress 24 oktober 2018 21:49

Beetje laks dat de consument dan maar naar hen moet bewegen.

Zelf in 2012 gevlogen met deze maatschappij... En nu?

Feanathiel @Morress • 24 oktober 2018 21:57

Even doorklikken op de link in het artikel: https://infosecurity.cathaypacific.com/en_HK.html Daar staat het een en ander uitgelegd.

rkeet @Feanathiel • 26 oktober 2018 09:13

Daar kun je je ook registreren om op te vragen of er shizzle van jouw gelekt is. Klinkt vertrouwd toch?

hehehe

kodak

Beveiliging en antivirus

@Morress • 24 oktober 2018 22:09

Verontruste klanten kunnen contact opnemen met Cathay Pacific.

Dit sluit niet uit dat Cathay Pacific ook klanten actief gaat informeren.

En als je dan het originele bericht van het bedrijf ook leest, lijkt het bedrijf zich ook bewust dat ze verantwoordelijkheid hebben:

“We are in the process of contacting affected passengers“

[Reactie gewijzigd door kodak op 3 augustus 2024 22:58]

Kenzi @kodak • 25 oktober 2018 11:43

Ze wisten het in Maart al. Die "verantwoordelijkheid" is enorm ver te zoeken. Pas na herhaaldelijk vragen door lokale politici is dat statement naar buiten gekomen. En verder niks. Zelfs niet waarom ze 6 maanden gewacht hebben om er mee naar buiten te komen (de reden " om paniek te voorkomen " is BS.

Alcmaria @Morress • 24 oktober 2018 22:01

Als je al je gegevens: creditcard nummer en cvv, pin en geboortedatum, bsn nummer even mailt naar
cathay@wecheckforyou.ru dan hoor je binnen 24 uur of je bij de probleemgevallen zat.

mikesmit @Alcmaria • 24 oktober 2018 22:03

Ben benieuwd of hier iemand in trapt

jimzz @Alcmaria • 24 oktober 2018 23:35

Heeft meer te maken denk ik met het feit dat er daadwerkelijk mensen zijn die daar in trappen.

Verwijderd @jimzz • 25 oktober 2018 07:07

De extra waarschuwing op de https://infosecurity.cathaypacific.com/en_HK.html zal inderdaad niet voor niks zijn:

"Please note:

Official emails relating to this data security event will be sent from an address with the format infosecurity@cathaypacific.com.

With regard to this data security event, we will never request your personal or financial information, and we will never ask for your password.

If you are concerned about an email, we recommend that you don’t click on any links, open any attachments or reply to it."

ajolla @Verwijderd • 25 oktober 2018 14:21

Mooi is dat. Na zelf gehacked te zijn gaan ze óns adviseren hoe niet gehacked te worden?

MennoE @Alcmaria • 25 oktober 2018 09:46

Ik moest er hard om lachen

droner 24 oktober 2018 21:59

Dagelijkse kost he, grote bedrijven waar data van miljoenen klanten naar buiten stroomt. Kan het geen nieuws meer noemen.

Digital == uiteindelijk public, moet de conclusie zijn. En dus je anonimiteit online maximaliseren, altijd.

Het bedrijf meldt dat het nog niet gestuit is op misbruik in de praktijk

Ook altijd leuk, zo'n loze opmerking. Alsof zij signalen op zouden vangen van de wereld buiten Cathay Pacific.

[Reactie gewijzigd door droner op 3 augustus 2024 22:58]

RobbieB @droner • 24 oktober 2018 22:33

Het probleem is dat in dit geval data is gelekt die noodzakelijk is voor hun dienstverlening. Dus je kunt je ‘anonimiteit wel maximaliseren’, maar die vlieger gaat niet altijd op. Sterker, zelfs als je geheel ‘offline’ je ticket zou boeken (bv via telefoon) zou deze data nog in hun systemen hebben gestaan...

droner @RobbieB • 24 oktober 2018 22:53

Je hebt gelijk, het is totaal niet voldoende. Wellicht moeten bedrijven middels AVG 2.0 gewoon verplicht worden om persoonsgegevens offline op te slaan, dwz op systemen die echt fysiek onmogelijk online benaderbaar zijn, of iets in die strekking. Na je 'journey' direct alle gegevens uit de live systemen wissen, alleen nog maar offline opslaan voor de belastingdienst, zoiets. Hoe dan ook: ook professionele data security is niets meer dan uitstel van het moment dat betreffende data op straat ligt.

Intussen ben ik extra waakzaam op onnodige datacollectie. Bedrijven die teveel opvragen via formulieren krijgen van mij gibberish of ik surf even verder.

Verwijderd1 @droner • 24 oktober 2018 23:12

Je hebt gelijk, het is totaal niet voldoende. Wellicht moeten bedrijven middels AVG 2.0 gewoon verplicht worden om persoonsgegevens offline op te slaan, dwz op systemen die echt fysiek onmogelijk online benaderbaar zijn, of iets in die strekking.

De data gaat echter al eerder (voor je vlucht vertrekt) in andere elektronische systemen buiten het bedrijf (e.g. systemen van het bestemmingsland). Bijvoorbeeld als je naar de VS vliegt, API:

The Advance Passenger Information System or APIS is an electronic data interchange system established by U.S. Customs and Border Protection (CBP), but also demanded by some other countries.

APIS governs the provision of a limited number of data elements (identification details from the passport and basic flight information) from commercial airline and vessel operators to the computer system of the destination state. Required information should conform to specifications for UN/EDIFACT Passenger List Message (PAXLST) formats.

https://en.wikipedia.org/...senger_Information_System

Over het bewaren:

The compromise agreed with EU governments says PNR data will be retained for five years maximum, so that law enforcement officials can access it if necessary.

After six months the data will be "masked out" or anonymised by PIUs. But during the five-year period investigators in a serious crime case will be able to "unmask" it if necessary to reveal a suspect's details.

https://www.bbc.com/news/world-europe-36035698

droner @Verwijderd1 • 24 oktober 2018 23:38

Als we realistischer worden voor wat betreft data security dan kunnen we ook zulke protocollen anders inrichten; de data die bewaard wordt kan bijv. al veel eerder dan pas na 5 maanden geanonimiseerd worden en je persoonsinformatie zou daar ook vervangen kunnen worden door een token die alleen via de offline systemen nog gekoppeld kan worden - tuurlijk, kost iets meer moeite, maar het gaat hier om 'serious crime cases' wat slechts een miniscule fractie van het aantal reizigers betreft. Misschien heeft de douane van het land van bestemming ook wel voldoende aan dat token, gescande pas + token valideren bij het moederland oid. Minimale data transfer en vooral 'geen opslag' als uitgangspunt.

Slechts suggesties 'vanaf de heup', het gaat erom dat je eerst moet accepteren dat veilige data niet bestaat en al helemaal niet in combinatie met een internetverbinding, zodra dat gebeurt kan men m.i. pas werkelijk denken aan alternatieve oplossingen.

Verwijderd1 @droner • 24 oktober 2018 23:47

Als we realistischer worden voor wat betreft data security dan kunnen we ook zulke protocollen anders inrichten

Probleem is dat je dat met allerlei landen af zult moeten spreken. In het bijzonder de VS zal daar niet zomaar van te overtuigen zijn.

Ook kan ik me voorstellen dat het praktisch gezien niet wenselijk is. Offline duurt langer terwijl er soms geen tijd is. Veel inputsystemen al digitaal, denk aan paspoort scanners die elk paspoort wat voorbij komt digitaal loggen. Als je dan op een lijst (digitaal) staat moeten ambtenaren meteen weten dat ze die persoon verder moeten controleren, de zogenaamde secondary.

slm @Verwijderd1 • 25 oktober 2018 08:26

Dit zegt volgens mij niets over een vereiste dat het via internet toegankelijk moet zijn. Zulke gegevens kunnen ook via een eigen netwerk aangeboden worden, wat de kans op hacken absoluut niet uitsluit maar wel aanzienlijk verlaagt. Vroeger hadden reisoperatoren al een eigen netwerk, dus waarom nu niet?

triflip @droner • 25 oktober 2018 07:23

Gegevens offline opslaan gaat belachelijk moeilijk worden, er zijn gewoon systemen die de data nodig hebben. En hoe ga je de data in het systeem krijgen als jij in bijv. R'dam zit en het opslag systeem staat in A'dam? Dan moet je al weer ouderwets gaan faxen ofzo maar ook dan is het te onderscheppen.

Douweegbertje @droner • 25 oktober 2018 07:32

In feite staat dat ook al in de huidige GDPR; immers AVG zijn de algemene voorwaarden en ik denk dat je meer op de GDPR doelt.

Het nadeel is dat dit zoveel ter eigen interpertatie overlaat. Vooral met complexe systemen zou je technisch gezien wel aan van alles kunnen doen zonder vergaande en goede oplossingen te gebruiken om user-data te beschermen. Anyway, dat is misschien kost voor een andere keer.

Ik werk zelf aan een website van een relatief grote streekvervoerder. Hier is ook een "shop" voor het afnemen van abonnementen voor je OV chipkaart. Er komen dus relatief veel NAW gegevens langs en die worden doorgeschoten naar eigenlijk de 'backbone' van het "OV chipkaart systeem".

Wat wij dus doen is al die data verwijderen als het 1 week oud is. Het zou prettig zijn om dit langer te bewaren maar;
- We vragen sowieso al minder data op van de klant. (1 veld bleek overbodig voor de afname van het product)
- De bescherming van de data was belangrijker dan de 'luxe' om te data altijd te bewaren
- Die ene week is puur om eventuele issues op te lossen (error vanuit de backbone - check data, whatever).

En hoewel we dus actief met security zijn en ook gedegen pentesten door 3e hebben laten doen kan er iets funky gebeuren. Echter zou er dan maximaal 1 week aan data gelekt zijn in tegenstelling tot.. ja een retentie van 5 jaar of domweg "alle" klanten.

--------------------------------------------------------

In ons geval is er een gedegen en actieve security officer met kennis van zaken en voldoende ruimte om dingen aan te pakken indien benodigd. Binnen de organisaties leeft dit stukje bewustwoording en is er idem ook ruimte om nieuwe / extra implementaties te maken ook al heeft dat een nadelig effect. Met nadelig effect doel ik op: Geld uitgeven voor iets waar je als business in een directe manier niets aan verdient maar puur verliest; financieel, functionaliteit, tijd, etc.
De GDPR en uberhaubt common-sense wordt goed toegepast en je maakt voor jezelf verplichtingen in plaats van workarounds en grijze gebieden.

Conform de GDPR is het discutabel of dit nu nodig was. Ik weet namelijk zeker dat als wij alles wel 2 jaar lang bewaarde dat wij 0 issues zouden hebben in het geval van een data-lek. Dit ga je niet oplossen perse met strengere GDPR regels maar wel met verduidelijking van de regels. Te veel is nog ter eigen interpertatie.

Onno @Douweegbertje • 25 oktober 2018 08:45

In feite staat dat ook al in de huidige GDPR; immers AVG zijn de algemene voorwaarden en ik denk dat je meer op de GDPR doelt.

AVG is de Nederlandse naam van GDPR, het is hetzelfde dus.

jongetje

@droner • 25 oktober 2018 10:40

Ik begrijp je reactie wel. Maar dan kun je dus niet online inchecken of boeken. En ik zie het niet meer gebeuren dat mensen de telefoon pakken om een ticket te boeken en deze per post laten opsturen.

rst77 24 oktober 2018 22:09

Nou ik heb in 2015 gevlogen met Cathay Pacific en ben toch echt niet blij dat mijn paspoortnummer dus nu ergens bekend is. Identiteitsfraude ligt natuurlijk op de loer. Ik heb even doorgeklikt, maar er staat ook nergens vermeld uit welke periode de gegevens zijn gehackt, dus of mijn vlieggegevens erbij zitten. Beetje vaag zo van Cathay...

Nha @rst77 • 24 oktober 2018 23:30

Nou ik heb in 2015 gevlogen met Cathay Pacific en ben toch echt niet blij dat mijn paspoortnummer dus nu ergens bekend is.

Dan moet je gewoon helemaal niets doen en lekker thuis zitten. Wil je dit niet (begrijpelijk) dan moet je de risico's er maar bij nemen. Maar zelfs als je thuis zit zal je data vroeg op laat op straat liggen door een lek/inbraak bij een of andere overheidsinstantie.
Het nut van identiteitskaartnummers en whatever een land als "social security number" gebruikt zakt tegenwoordig toch serieus wanneer het door jan en alleman gelekt/bestolen kan worden. Met kredietkaarten kan je best regelmatig een nieuwe pakken en de oude opzeggen, meer kan je er ook niet aan doen, veel plekken aanvaarden geen prepaids.

iAR @rst77 • 25 oktober 2018 11:42

Ik kan dat ook niet terugvinden. Ik heb nog net iets eerder met ze gevlogen.

Ik vind het ook wel typisch dat ze op hun site melden dat je je password regelmatig moet veranderen. Als je het hebt over bsn, paspoort, etc. dan is dat een beetje een dooddoener.

RobbieB @rst77 • 24 oktober 2018 22:31

Same here. In 2011 en 2018 gevlogen met Cathay. Ik ga ze even mailen en vriendelijk vragen of ik persoonlijk geraakt ben en zo ja, of ze het vernieuwen van mijn paspoort willen vergoeden. Ook eens uitzoeken hoe sterk ik hierin sta ivm GDPR...
Leuk als ze straks een boete krijgen vanuit de EU (vast niet), maar ik bv mijn paspoortkosten zelf moet betalen...

[Reactie gewijzigd door RobbieB op 3 augustus 2024 22:58]

basdej @triflip • 25 oktober 2018 07:35

Als je vliegt wordt niet je bsn maar je paspoortnummer gevraagd

lighting_ 24 oktober 2018 23:04

Uw gegevens zijn bij ons veilig. Zo een standaard zin. Ook triest dat ze na de diefstal pas een beveiliging expert inhuren.
Je id zal maar misbruikt worden.

nervwrecker 24 oktober 2018 23:09

Lekker dit 2015 met cathay gevlogen, net inquiry ingevuld hopelijk vallen mijn gegevens er niet onder, maar lekker optijd dit ook in maart opgemerkt en mei definitief en nu Oktober pas bekend gemaakt....

Tgask 25 oktober 2018 09:08

Toch fijn om te lezen dat ze het werkelijke heel erg vinden dat de combinatie voor-, achternaam, geboorte datum, nationaliteit, geslacht en paspoortnr. zijn bemachtigd door een partij die er waarschijnlijk niet al te veel goede bedoelingen mee heeft...

Ben benieuwd hoe ze om willen gaan met claims rond fraude die is gepleegd met de bij hen gestolen informatie.

Edit:
Ik ben wel blij dat ik regelmatig op tweakers kom en ook erg blij dat ze dit even delen!

Vraag mij ook af of andere maatschappijen dit weten, bijv. KLM die ook nog wel eens vluchten uitwisselt met Cathy....

[Reactie gewijzigd door Tgask op 3 augustus 2024 22:58]

boyette @Tgask • 26 oktober 2018 00:57

Je bent gewoon persoonlijk geïnformeerd als dit jou aangaat.

Tgask @boyette • 26 oktober 2018 11:58

Dat zou je denken ja maar nee, niet geinformeerd

Edit:
Het informeer process loopt niet zo'n vaart.

[Reactie gewijzigd door Tgask op 3 augustus 2024 22:58]

boyette @Tgask • 26 oktober 2018 20:15

Dan zijn jouw gegevens niet buit gemaakt of je contact gegevens waren niet en zijn niet up to date of waren vals waardoor men je niet kan bereiken.

Maar je kan ze gewoon bellen en vragen hoe het zit.

[Reactie gewijzigd door boyette op 3 augustus 2024 22:58]

Sorcerer8472 24 oktober 2018 23:30

Daarnaast gaat het om nummers van 403 verlopen creditcards en 27 creditcards zonder cvv.

Klinkt alsof er een back-up of een debug-archief o.i.d. met oude gegevens is buitgemaakt.

ViperXL @Sorcerer8472 • 25 oktober 2018 00:21

Idd dacht ik ook, althans backup, een debug-log/archief zou dit soort gegevens niet moeten bevatten. Ik kom het af en toe ook tegen, keiharde beveiliging binnen een bedrijf maar backups kunnen net zo goed op een public-ftp staan

Het gebeurd mij net iets teveel, deze bedrijven met veel data moeten tegelijk hard aangepakt worden als ze nalatig zijn in de beveiliging. Piet de computerboer is een ander verhaal maar een creditcard/vlieg/bank maatschappij heeft een grote verantwoording hierin.

Wildfire

24 oktober 2018 22:24

De gegevens waren blijkbaar onversleuteld opgeslagen??

Razwer @Wildfire • 24 oktober 2018 22:28

Open deur intrappen is makkelijk hoor

Gezien de context niet bekend is zijn zulke opmerkingen makkelijk scoren. Je kan raden wat je wilt maar als je de lotto nummers van volgende week kent hoor ik het ook graag.

Wildfire

@Razwer • 24 oktober 2018 22:49

Bij de diefstal zijn gegevens over nationaliteit, geboortedatom, telefoonnummer, e-mailadres, paspoortnummer, identiteitskaartnummer, frequentflyernummer en reisgegevens ontvreemd. Daarnaast gaat het om nummers van 403 verlopen creditcards en 27 creditcards zonder cvv.

Dan lijkt het mij toch om onversleutelde data te gaan. Zeker omdat in het geval van gehashte gegevens dat er eigenlijk altijd bij vermeld staat.

Razwer @Wildfire • 24 oktober 2018 22:52

Dat hoeft niet. Als de data wel versleuteld is maar je via een exploit bij de data kan en het kan extracten is dat dus niet het geval.
Of als je de encryption key te pakken hebt is het weer een ander verhaal.
Zo zijn er zat scenarios te bedenken. ALLE data is op een bepaald moment niet versleuteld, anders kan je er niets mee.

Wildfire

@Razwer • 24 oktober 2018 22:57

Laten we dan eerst maar even wachten tot er meer info beschikbaar is. Het klopt wel dat met hoe Cathay Pacific het nieuws verstrekt het beide kanten op kan.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (52)

Sorteer op:

Weergave: