國泰航空表示，近日發現有不法份子以欺詐手段，利用雙重驗證漏洞登入會員用戶帳戶，導致個人資料被未經授權取用，以及「亞洲萬里通」（Asia Miles）里數被盜。事件涉及約1,000個國泰會員帳戶，大部份為香港會員。

國泰就事件致歉，又指已聯絡大部分受影響的會員，恢復了他們的帳戶，並補回他們因此事件而失去的里數。國泰並已向個人資料私隱專員公署等相關機構報告事件，聘請外部專家進行全面的獨立調查。

香港資訊科技商會榮譽會長方保僑估計，黑客是從暗網等渠道，取得早前已因其他資料外泄事故而被公開的用戶資料，而該些用戶「一個密碼走天涯」，令黑客可以輕鬆進入他們的帳戶。他又提到，國泰在兌換里數及加入同行人士時，有多重認證（MFA）及通行鑰匙（Passkey）等保安選擇，建議用戶開啟這些功能。

涉及約1,000個國泰會員帳戶　大部份為香港會員

國泰表示，近日發現部份會員的帳戶遭非法登入，導致個人資料被未經授權取用，以及「亞洲萬里通」里數被盜情況。所取用的個人資料包括個人身份資料和旅程資訊，但並不涉及信用卡資料。事件涉及約1,000個國泰會員帳戶，大部份為香港會員。

不法分子利用雙重驗證流程問題越過該流程取得「亞洲萬里通」里數

初步調查顯示，不法分子主要動機為以盜取「亞洲萬里通」里數，使用部份在互聯網上外泄的有效會員帳戶憑證登入帳戶，並以欺詐手段，利用雙重驗證漏洞越過流程，從而取得「亞洲萬里通」里數。

已聯絡大部份受影響會員補回里數　未核實會員身份帳戶暫時封鎖

國泰就事件致歉，又指已聯絡到大部份受影響的會員，恢復了他們的帳戶，並補回他們因此事件而失去的「亞洲萬里通」里數。國泰目前正核實其餘受影響會員的身份，而出於安全考慮，他們的帳戶暫時被封鎖。國泰將盡快逐一聯絡有關會員，協助恢復帳戶，並補回里數。

至於雙重認證中出現的問題，國泰指現已修正，並會進一步加強有關流程，確保同類事件不再發生。

國泰已向私隱專員公署報告　聘外部專家獨立調查

國泰已向個人資料私隱專員公署等相關機構報告事件，並聘請了外部專家進行全面的獨立調查。

方保僑：黑客如何利用「雙重驗證漏洞」仍有待國泰調查

香港資訊科技商會榮譽會長方保僑解釋，「會員帳戶憑證」其實是用戶登入名稱或電郵、密碼，估計黑客是從暗網等渠道，取得早前已因其他資料外泄事故而被公開的用戶資料，而該些用戶「一個密碼走天涯」，令黑客可以輕鬆撞破他們的國泰帳戶。

至於黑客如何利用「雙重驗證漏洞」，方保僑坦言仍有待國泰公布，但提到現時生成式人工智能（AI）越來越普及，估計黑客有機會透過AI分析及找出網站的保安漏洞。

他又建議，受影響用戶現時應立即檢查自己的帳戶有否可疑活動，例如同行人士名單中有否陌生人，又提到國泰在兌換里數及加入同行人士時，有多重認證（MFA）及通行鑰匙（Passkey）等保安選擇，但並非強制開啟，建議用戶開啟這些功能。