İngiliz Veri Koruma Otoritesi (ICO), Cathay Pasific Airway Limited’e (Cathay Pasific), hukuka aykırı olarak müşterilerine ait kişisel verilere erişilmesini önleyememesi sebebiyle 500.000 pound para cezası verdi. Yapılan inceleme sonucunda şirketin bilgisayar sistemlerinde 2014 ila 2018 yılları arasında müşterilerin kişisel verilerini muhafaza etmek için uygun güvenlik önlemlerinin bulunmadığı anlaşıldı. Havayolu şirketinin sistemlerine uygun güvenlik önlemleri almaması; 111.578 İngiliz vatandaşı olmak üzere yaklaşık 9.4 milyon müşterinin kişisel verisinin açığa çıkmasına neden oldu. Hukuka aykırı ve yetkisiz bir şekilde erişilen kişisel verilerin; müşterilerin ad-soyad, pasaport, kimlik detayları, doğum tarihi, posta ve e-posta adresleri, telefon numaraları, geçmiş seyahat bilgileri olduğu açıklandı. Doğru sonuca ulaşmak için birçok farklı şifre veya kelime denenerek veri tabanın saldırıya uğradığı ve Cathay Pasific’in bu şüpheli durumun 2018 yılı Mart ayında farkına vardığı belirtildi.
İnceleme sonucunda ICO, havayolu şirketinin sistemlerine internete bağlı bir sunucu aracılığıyla girilerek verileri toplamak için kötü amaçlı yazılım yüklendiğini tespit etti. ICO soruşturma sırasında oldukça temel düzeyde tespit ettiği eksiklikleri ise şu şekilde sıraladı: Şifre koruması olmayan yedekleme dosyaları, gerekli güncellemeleri yapılmamış internet sunucuları, geliştirici tarafından desteklenmesi sona eren işletim sistemlerinin kullanımı ve yetersiz anti virüs koruması.
Benzer şekilde Kişisel Verileri Koruma Kurulu da Cathay Pasific’e gerekli teknik ve idari tedbirleri almaması ve “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık sebebiyle toplam 550.000 TL para cezası uygulamıştı. Kurul’un 16.05.2019 tarih ve 2019/144 sayılı karar özetinde, 13.03.2018 tarihinde şirketin bilgisayar ağları üzerinden yolcu bilgilerini içeren bilgi sistemlerine yetkisiz erişim gerçekleştiği ve kullanılan araç, taktik ve prosedürlere dayanarak iki farklı grubun saldırısı olabileceğinden şüphelenildiği belirtilmişti. Şirket tarafından Türkiye’de toplam 1.286 kişinin söz konusu ihlalden etkilendiği, diğer taraftan Türkiye’de toplam 155 kişinin pasaport numarasına erişildiği ifade edilmişti. Kurul tarafından yapılan değerlendirmede ihlalin yaklaşık 2 ay sonra tespit edilmesinin bir güvenlik açığı olduğu belirtilmişti. Ayrıca gerekli denetimlerin ve şirket bünyesindeki donanım ve yazılımların yapılandırmalarının doğru bir şekilde yapılmadığı ve alınan güvenlik önlemlerinin yetersiz olduğu açıklanmıştı.