940萬筆乘客個資外洩 國泰驚爆資安危機

▲國泰航空公司24日表示，包含國泰航空和所屬港龍航空公司在內，約940萬名乘客的個資外洩。（圖／取自Cathay Pacific臉書）

國泰航空公司今天表示，包含國泰航空和所屬港龍航空公司在內，約940萬名乘客的個資外洩。

國泰航空公司表示，86萬筆護照號碼、約24萬5000筆香港身份證號碼、403筆逾期信用卡號、27筆不含安全碼（CVV）的信用卡號外洩。

國泰航空行政總裁何杲（Rupert Hogg）在聲明中說：「我們就這起個資安全事件對乘客造成的任何可能顧慮感到非常抱歉。」

「我們立即採取行動防止事態擴大，在某頂尖網路安全公司協助之下展開徹底調查，並進一步強化我們的資訊科技安全措施。」

▲國泰航空940萬旅客個資外洩，包括護照、身分證號碼。（圖／取自Cathay Pacific臉書）

何杲表示，乘客使用的密碼都沒有外洩，正在聯繫受影響乘客，對他們提供自我保護的資訊。

國泰航空表示，最早於3月間在其網路發現可疑活動，5月初進行調查後確認某些個資外洩。

聲明指出，外洩個資內容包括乘客姓名、國籍、生日、電話號碼、電郵、地址、護照號碼、身份證號碼和過往飛行紀錄等。

國泰航空表示，已向香港警方通報這起事件，沒有證據顯示有任何個資遭到不當使用。

繼臉書後，社群網站Google+也捲入個資外洩風暴，數十萬用戶資料曝光，Google因此宣布個人版Google+將走入歷史。華爾街日報報導，Google半年前發現問題卻不公開。

根據Google工程部副總裁史密斯（Ben Smith）今天發表的部落格文章，Google今年啟動「閃光燈計畫」（Project Strobe），稽查第三方開發商存取Google帳戶和Android裝置資料的情況，結果發現Google+應用程式介面（API）存有重大漏洞。

Google因此決定放棄個人版Google+，給予用戶10個月時間下載並轉移資料，預定明年8月完全停止服務。Google+終止消費端功能後，未來只會開放給企業客戶，供企業內部交流使用。

Google+於2011年6月上線，被視為Google挑戰臉書（Facebook）的產品，但人氣始終比不上臉書。華爾街日報報導，Google上述決定形同為Google+棺材釘上最後一根釘子。

報導援引Google內部文件及知情人士指出，2015年至2018年3月期間，一項軟體問題讓外部開發商有機會存取Google+用戶個資。Google法律人員撰寫的備忘錄警告，若公布這起事件，可能「立即引起主管機關注意」，外界也會拿來和臉書個資外洩事件比較，Google聲譽恐受影響。

知情人士說，Google內部委員會今年春季決定不通知Google+用戶，Google執行長皮查伊（Sundar Pichai）也獲知相關計畫。

▲Google曾對保證不會捲入個資外洩醜聞，如今Google維護隱私的成效恐被打上問號。（圖／取自pixabay）

報導指出，主管機關與隱私權倡議團體主張科技巨擘應為數十億用戶個資負起責任之際，這起事件顯示，Google極力避免讓個資處理情況成為公眾關注焦點。

Google曾對外保證，不太會像臉書那樣捲入個資外洩醜聞，如今Google維護隱私的成效恐被打上問號，更可能危及Google避免華府加強監管的工作。

史密斯在文中寫道，用戶資料可能受影響時，Google以多項衡量標準決定是否通知用戶，「我們能否精確辨識應告知的用戶、是否有個資遭濫用的證據、開發商或用戶是否有可採取的因應措施，就這起事件而言，前述門檻都沒有達到。」

內部備忘錄指出，Google未掌握外部開發商濫用個資的證據，但無法確知是否毫無濫用情事。知情人士表示，Google+可能外流的用戶資料包括全名、電郵地址、出生日期、性別、大頭照、居住地、職業和感情狀態；電話號碼、電郵訊息、貼文、私訊和其他通訊資料未曝光。

Google為方便外部開發商協助擴充應用程式，透過逾130個API讓外部開發商存取用戶個資。開發商通常需要取得用戶同意，但風險在於不肖分子可能假扮程式開發商，取得並濫用敏感個資。

Google今天宣布，將終止外部開發商存取Android手機簡訊、通話紀錄和部分形式通訊錄資料的權限，Gmail也只會開放極少數廠商繼續為這套電郵服務開發擴充功能。

華爾街日報7月報導，Google讓數百家外部開發商，掃描數百萬註冊使用購物比價、自動化旅遊規劃等郵件相關服務的Gmail用戶收件匣。這些開發商訓練電腦甚至人工閱覽Gmail用戶郵件，Google卻疏於管理。