图：国泰航空去年爆出外泄约九百四十万名乘客的个人资料，事件发生七个月后才公布\资料图片

　　【大公报讯】记者朱乐怡报道：国泰航空和国泰港龙去年外泄约940万名乘客的个人资料，包括姓名、电话、护照号码、身份证号码、信用卡号码等，惟事发生七个月后才公布。私隐专员公署昨发表调查报告，狠批国泰八宗罪，包括国泰保障资讯系统安全的措施流於表面、过分鬆懈，连广为人知的保安漏洞都扫不到，对风险的警觉性低等，认为国泰违反《个人资料（私隐）条例》；而国泰延迟公布时间，虽然没有违反《私隐条例》，但未能符合乘客的合理期望。该署已指示国泰纠正及防止违规情况再发生。

　　私隐专员批评，攻击者利用伺服器漏洞，入侵国泰资讯系统，不过，该个是一个广为人知的保安漏洞，国泰的扫毒工具是具有侦测该漏洞的病毒识别码，却未能辨识，这是没有採取合理、切实可行的步骤，保障资料安全。第二宗罪是，国泰每年只扫描漏洞一次，做法过分宽鬆。

　　报告又指，国泰没有採取合理地切实可行的步骤，避免该伺服器的管理员控制台暴露於互联网，为攻击者“开启一扇大门”；国泰在事件发生前，并非要求所有遥距使用者需要经多重身份认证，便可存取资讯系统内的个人资料。

　　轰未汲取教训 风险警觉性低

　　调查显示，国泰曾在2016年至2018年期间，迁移一个数据中心时，将两个受影响系统的生产伺服器数据库备份，但为了方便而没有加密，令乘客私隐暴露予攻击者；而国泰一直以系统数目多、複杂、耗时为由，至事件发生时，都未有建立中央个人资料库存，严重削弱国泰对资料管治的有效性。

　　报告亦披露，国泰在2017年5月，亦曾发现一宗资讯系统未获授权取览的事件，但事后没有採取合理可行的步骤，减低被植入恶意软件和入侵的风险，反映国泰未从事故汲取教训，对风险警觉性低。报告发现有24万个身份证号码，被保留逾13年，现已废除核实身份目的，但仍然保留，违反《私隐条例》。

　　政府敦促国泰依从指令，採取即时补救措施，并会在研究修订《个人资料（私隐）条例》时，考虑设立强制性个人资料外泄通报机制。国泰表示，现正审慎考虑有关调查报告，并再就事件道歉。