【国泰泄私隐】国泰再解画　指调查冗长因“给乘客具意义的通知”

国泰航空上月公布，今年3月发生客户资料私隐外泄事件，940万名乘客资讯被“不当取览”，当中包括乘客护照号码、身份证号码、信用卡号码等个人资料。
国泰今（12日）日在提交予立法会的文件中指，调查时间冗长因有三个阶段，第一是在初步调查间仍不断受到网络攻击，其次是需找出哪些乘客的资料被泄漏，最后则是要确认被取览的资料类别，以给予受影响乘客“具意义的通知”。

立法会政制事务委员会、保安事务委员会及资讯科技事务委员会将于本周三（14日）召开联席特别会议，跟进国泰乘客资料外泄事件。

国泰今（12日）日在提交予立法会的文件中，提到希望向公众表达深切的遗憾，及向受影响的乘客诚恳致歉。国泰称，由于调查工作艰巨复杂，较预期需时，故未能早日完成；而国泰表示，根据他们的分析，大部分受影响的乘客被取览的资料限于姓名及电话，或姓名及电邮。

国泰：没有任何一位乘客资料被整套取览

国泰强调，付款系统是“具有适当的遮盖功能”，故此没有一套完整的信用卡资料曾被取览，仅有部分因错误输入非储存信用卡资料栏位的曾被取览，而这类信用卡大部分已过期；国泰又确认没有任何一位乘客或常客的资料被整套取览，亦没有任何乘客密码外泄。

至于为何调查时间冗长，国泰表示，调查分为三个阶段，第一是调查、控制及补救，此阶段由今年三月开始，当时他们在系统发现可疑活动迹象，故当时立即采取行动了解并堵截，惟系统在三月、四月及五月仍不断遭受攻击，此亦令第二阶段的工作更冗长及复杂。

而在第二阶段，国泰指需面对两大问题，一是哪些乘客的资料被泄漏，以及被取览的资料是否可在国泰以外的系统被重建为可阅读，国泰认为要找出答案是十分困难及耗时，最终在8月中旬才能得到答案。

在最后一个阶段，国泰转移至确认被取览的资料类别，他们强调因希望给予乘客一个单一、准确及具意义的通知，故此直至10月24日才完成。

国泰重申，是次受到的攻击是既精密且先进，又涉及数个复杂的系统，所以延长了向公众公布的时间，亦指他们在事件中吸取了许多教训，并再次向受影响的乘客致歉。