黑客 入侵Booking.com 太遲通報被罰47.5萬歐元

黑客 入侵Booking.com 太遲通報被罰47.5萬歐元

旅遊訂票網站Booking.com被荷蘭數據保護機構罰款47.5萬歐元,原因處理 入侵Booking.com 時違反了GDPR數據外洩通報所規定的時限,導致客戶有可能蒙受信用卡被盜用的損失。香港幾時有相關通報機制?

按此看:英國航空私隱外洩罰款 疫情關係激減9成

靠社交工程技術 入侵Booking.com

黑客 入侵Booking.com 的事件發生在2019年1月13日,事後查證有黑客使用社交工程(social engineering)攻擊,向位於阿拉伯聯合酋長國40間酒店的職員套取系統登入資料,竊取共4,109位用戶的個人私隱資料,當中包括名稱、住址、電話號碼、入住酒店日期等,當中283個用戶更包含其信用卡資料,其中有97個更涉及信用卡驗證碼。經調查後,Booking.com回應指黑客只入侵了用於查閱客戶訂房資料的系統,而未有入侵其內部系統。Booking.com於2019年2月7日已將數據外洩事件通知荷蘭數據保護機構The Autoriteit Persoonsgegevens(AP),而在事隔近兩年後,AP裁決認為Booking.com未有根據歐洲一般數據保護法規(GDPR)所訂,因此須判罰47.5萬歐洲罰款。

根據GDPR法規所定,如企業或機構發生數據外洩事件,必須在發現或被通知後的72小時內,向所屬歐盟地區內的數據保護機構通報,以及知會涉事的受害者。而Booking.com雖然已上報入侵事故,但比原定的72小時足足延遲了22日,因此必須接受懲罰。GDPR的處罰相當嚴厲,一般性違法的罰款上限是1000萬歐元,或上一財政年度全球全年營業收入的2%,而隨著嚴重性增加,罰款可以更高,例如Marriott酒店便曾因違反GDPR而被判罰1,840萬英磅。不過,發言人指Booking.com在事發後有採取一定措施去減輕客戶的損失,例如向受影響用戶發出補償,因此才能避免天價罰款。

按此看:公司內長裝監控鏡頭 德企被罰1,004萬歐元

數據保護法的重要性,在於可以逼使涉事機構盡快公布外洩事故,減少受影響用戶的潛在損失,例如當被洩的資料包含信用卡或可用作借貸的個人資料,當事人便可採取相關行動,例如暫停信用卡服務,又或委托專業公司監測個人資料有否被用於申請貸款等。而在香港由於未有相關法例監管,因此即使企業被黑客入侵,也毋須向政府或客戶通報,公布與否全憑良心,因此對客戶沒有任何保障。

詳情:https://bit.ly/3mx2jKJ