La Oficina del Comisionado de Información del Reino Unido (ICO) ha multado a Cathay Pacific por "una serie de deficiencias básicas de seguridad" que provocaron que los piratas informáticos robaran los datos de 9.4 millones de personas en todo el mundo, incluidos 111,578 del Reino Unido.
En octubre de 2018, la aerolínea con sede en Hong Kong aceptado que los piratas informáticos habían irrumpido en sus sistemas internos y accedido a los datos de los pasajeros, incluidos nombres, nacionalidades, fechas de nacimiento, números de teléfono, direcciones de correo electrónico, direcciones postales, detalles del pasaporte, números de viajero frecuente e información histórica de viajes.
Sin embargo, ahora se sabe que la violación de seguridad había estado ocurriendo desde al menos el 15 de octubre de 2014, y solo se identificó en mayo de 2018 después de que Cathay Pacific se enteró de un ataque de fuerza bruta contra su base de datos de Active Directory.
Una investigación posterior determinó que había dos grupos separados de atacantes, uno de los cuales había logrado instalar malware que roba contraseñas y usar las credenciales robadas para acceder a los sistemas de administración.
Cathay Pacific solo informó a la ICO de la violación de seguridad cinco meses después, el 25 de octubre de 2018, y dijo que le había llevado varios meses analizar los datos y comprender completamente el impacto de la violación.
El precio de las acciones de la aerolínea cayó tras las críticas de que había tardado demasiado en aclarar el ataque.
Entre las fallas de Cathay Pacific, según la ICO, estaban que la compañía no había cifrado las copias de seguridad de la base de datos que contenían datos personales, que la aerolínea no había parcheado un servidor con conexión a Internet contra una vulnerabilidad que había sido de conocimiento público durante más de 10 años, y que se estaban utilizando sistemas operativos obsoletos que ya no son compatibles en servidores que procesan datos confidenciales.
Además, la ICO señaló que unos 41,000 usuarios pudieron acceder a la VPN de Cathay Pacific con solo un nombre de usuario y contraseña, sin necesidad de autenticación adicional:
"Si Cathay Pacific hubiera requerido MFA para cada usuario, los atacantes no habrían podido usar las credenciales robadas para acceder a la VPN y se habría evitado la filtración de datos".
En septiembre de 2018, Cathay Pacific comenzó a implementar la autenticación multifactor (MFA) en todos los usuarios. Lo cual es bueno, por supuesto, pero realmente debería haber sucedido mucho antes.
El ICO tiene hoy anunció Multa a Cathay Pacific con £ 500,000, con una reducción del 20% a £ 400,000 si la multa se paga antes del 12 de marzo de 2020.
Cathay Pacific no es la única aerolínea que se encuentra en el centro de atención de los organismos de control de datos. En julio del año pasado se reveló que British Airways se enfrentaba a una £ 183 millones de multa de la ICO después de que los piratas informáticos recopilaran los datos de los viajeros.
