【國泰洩私隱】國泰再解畫　指調查冗長因「給乘客具意義的通知」

國泰航空上月公布，今年3月發生客戶資料私隱外洩事件，940萬名乘客資訊被「不當取覽」，當中包括乘客護照號碼、身份證號碼、信用卡號碼等個人資料。
國泰今（12日）日在提交予立法會的文件中指，調查時間冗長因有三個階段，第一是在初步調查間仍不斷受到網絡攻擊，其次是需找出哪些乘客的資料被洩漏，最後則是要確認被取覽的資料類別，以給予受影響乘客「具意義的通知」。

立法會政制事務委員會、保安事務委員會及資訊科技事務委員會將於本周三（14日）召開聯席特別會議，跟進國泰乘客資料外洩事件。

國泰今（12日）日在提交予立法會的文件中，提到希望向公眾表達深切的遺憾，及向受影響的乘客誠懇致歉。國泰稱，由於調查工作艱巨複雜，較預期需時，故未能早日完成；而國泰表示，根據他們的分析，大部分受影響的乘客被取覽的資料限於姓名及電話，或姓名及電郵。

國泰：沒有任何一位乘客資料被整套取覽

國泰強調，付款系統是「具有適當的遮蓋功能」，故此沒有一套完整的信用卡資料曾被取覽，僅有部分因錯誤輸入非儲存信用卡資料欄位的曾被取覽，而這類信用卡大部分已過期；國泰又確認沒有任何一位乘客或常客的資料被整套取覽，亦沒有任何乘客密碼外洩。

至於為何調查時間冗長，國泰表示，調查分為三個階段，第一是調查、控制及補救，此階段由今年三月開始，當時他們在系統發現可疑活動跡象，故當時立即採取行動了解並堵截，惟系統在三月、四月及五月仍不斷遭受攻擊，此亦令第二階段的工作更冗長及複雜。

而在第二階段，國泰指需面對兩大問題，一是哪些乘客的資料被洩漏，以及被取覽的資料是否可在國泰以外的系統被重建為可閱讀，國泰認為要找出答案是十分困難及耗時，最終在8月中旬才能得到答案。

在最後一個階段，國泰轉移至確認被取覽的資料類別，他們強調因希望給予乘客一個單一、準確及具意義的通知，故此直至10月24日才完成。

國泰重申，是次受到的攻擊是既精密且先進，又涉及數個複雜的系統，所以延長了向公眾公布的時間，亦指他們在事件中吸取了許多教訓，並再次向受影響的乘客致歉。