Grave incidente: roban datos de los clientes de Cathay Pacific

El día 24 octubre Cathay Pacific informa que han sufrido un importante incidente de seguridad: han robado datos personales y financieros de unos 9,4 millones de clientes.

La compañía ha detectado el incidente al realizar sus revisiones de seguridad y ha descubierto accesos no autorizados a una parte de la base de datos de sus clientes. Tras la identificación, han tomado las medidas para poder contener la filtración de forma inmediata.

Ruper Hogg, el CEO de Cathay Pacific, ha afirmado:

«Lamentamos cualquier inquietud que este incidente de seguridad pueda causar a nuestros pasajeros. Hemos actuado de forma inmediata para contener el incidente, estamos realizando una investigación exhaustiva con la asistencia de una empresa líder en seguridad y fortaleceremos aún más nuestras medidas de seguridad».

La compañía ya ha tenido varios incidentes, el primero fue en marzo de este año y en mayo se confirmó que los datos habían sido expuestos.

Los datos accedidos incluían nombres de pasajeros, nacionalidades, fechas de nacimiento, números de teléfono, correos electrónicos, direcciones físicas, números de pasaporte, etc.

También se accedió a unos 403 números de tarjetas de crédito vencidas, y 27 números de tarjetas de crédito activas, pero sin números de CVV, aseguró Cathay Pacific.

La policía de Hong Kong ha sido alertada de estos incidentes y ellos están notificando a las autoridades relevantes el incidente de Cathay Pacific.

Si creéis que os podéis ver afectados por este incidente, debéis contactar con la compañía en el siguiente correo: infosecurity@cathaypacific.com

Ya son varios incidentes de seguridad a aerolíneas en lo que va de año. Cabe mencionar los siguientes:

  • British Airways el día 6 de septiembre sufrió un importante incidente de seguridad donde fueron robaron datos personales y financieros de sus clientes durante casi dos semanas, desde las 22:58 del 21 de agosto de 2018 hasta las 21:45 del 5 de septiembre de 2018 inclusive.
  • La aplicación de Air Canada sufrió un importante incidente de seguridad en agosto, robaron miles de datos personales de sus clientes.
  • En abril, Delta Airlines también sufrió un incidente de seguridad. Estaban expuestos datos de las tarjetas de crédito de miles de clientes por un ataque a un proveedor de la compañía.

 

Os recordamos los procedimientos relativos a la notificación de las autoridades y de las personas físicas que el RGPD establece en los artículos 33 y 34.

El plazo para la notificación de un incidente es de 72 horas y se debe:

  • Notificar a la Autoridad el incidente de seguridad de acuerdo con las políticas y normas internas establecidas en los protocolos de seguridad y de conformidad con el nuevo Reglamento.
  • Tener un registro de todos los incidentes de seguridad dentro de la organización y que ocurran bajo su responsabilidad.
  • Informar al interesado al igual que al responsable de la Autoridad de Control y Supervisión de la Protección de Datos, cuando el incidente suponga una amenaza directa a las libertades y derechos fundamentales de la persona.
  • Avisar a la persona afectada inmediatamente, a fin de que el interesado tome las medidas y precauciones necesarias para resguardar su seguridad e intereses personales de la mejor manera.
Ruth Sala Ordóñez, Directora del despacho de abogados Legalconsultor.es