В 2017 году в Центре полетов произошла утечка данных, когда номера паспортов и кредитных карт 6918 клиентов были случайно оставлены в наборе данных, используемом участниками хакатона.
Подробности нарушения раскрываются в определении Австралийского комиссара информации и комиссара по вопросам конфиденциальности Анджелины Фальк о том, что Flight Centre нарушил австралийские принципы конфиденциальности, в том числе используя данные для целей, отличных от тех, по которым они были первоначально собраны.
В то время сообщалось о нарушении, но подробностей было мало, за исключением того, что некоторые данные были раскрыты “сторонним поставщикам” по ошибке.
Теперь стало известно, что Flight Centre раскрыл эти данные через “дизайнерскую пробку”, которая продолжалась в течение трех дней в марте 2017 года “для создания технологических решений для турагентов, чтобы лучше поддерживать клиентов в процессе продаж”.
Это был первый раз, когда Летный центр проводил такое мероприятие, и участники не должны были подписывать соглашение о неразглашении или какие-либо другие документы, чтобы присоединиться.
Всего в хакатоне приняли участие 16 команд, которым был предоставлен доступ к набору данных “за 2015 и 2016 календарные годы, содержащему 106 миллионов строк данных”.
“Файл в наборе содержал 28 миллионов строк данных из системы цитирования, выставления счетов и получения ответчика”, — написал Фальк в своем решении.
“Файл данных содержал 6 121 565 индивидуальных записей клиентов. Детали, которые, как известно, содержат личную информацию, были запутаны, оставив то, что считалось только годом рождения клиента, почтовым индексом, полом и информацией о бронировании.”
Фальк писал, что Летный центр рассмотрел “выборку из 1000 строк каждого файла данных в наборе данных, чтобы убедиться, что данные не содержат никакой личной информации.”
Однако в последний день “дизайнерского затора” один из участников мероприятия заметил информацию о кредитной карте в “неструктурированном свободном текстовом поле данных” и уведомил об этом Центр полетов.
При дальнейшем рассмотрении Летный центр заявил, что поле “ошибочно включило данные 4011 кредитных карт и 5092 паспортных номера для 6918 физических лиц.”
“Кроме того, были раскрыты 475 имен пользователей и паролей (в основном к порталам поставщиков и поставщиков) и 757 строк, содержащих дату рождения клиентов”, — написал комиссар.
Официальное назначение свободного текстового поля состояло в том, чтобы “сотрудники сообщали информацию о бронировании”.
Несмотря на внутреннюю политику и обучение, “несколько консультантов по путешествиям использовали свободное текстовое поле для записи информации о кредитных картах клиентов и номеров паспортов в период с 1 января 2015 года по 31 декабря 2016 года”, — писал Фальк.
Кроме того, не было никакого ИТ-контроля для распознавания номеров паспортов или кредитных карт, добавляемых в поле.
“Хранение паспортной информации и данных кредитной карты в свободном текстовом поле (способом, несовместимым с применимыми политиками) и отсутствие технических средств контроля для предотвращения или обнаружения такого неправильного хранения вызвали неотъемлемый риск безопасности данных с точки зрения того, как этот вид личной информации был защищен ответчиком непосредственно перед нарушением данных”, — написал комиссар.
6918 пострадавших клиентов
Сноски в определении показывают, что из 6918 пострадавших лиц “было 1012 … для которого [Летный центр] не имел достаточных контактных данных и поэтому не мог уведомить.”
Остальные пострадавшие клиенты были уведомлены об этом 7 июля 2017 года.
Центр полетов заявил, что нет никаких доказательств того, что данные были использованы не по назначению. Он подтвердил всем участникам “конструкторского затора”, что данные были “уничтожены”.
Компания заявила, что сканировала свои ИТ-системы после инцидента, “чтобы выявить и удалить любые другие случаи неправильного хранения кредитной карты или паспортной информации”, и с тех пор проводила еженедельные проверки.
Она также улучшила свои “системы и программное обеспечение для обеспечения того, чтобы информация о кредитных картах и паспортные данные не могли храниться в полях свободных текстовых данных”; привлекла “специалиста по разведке угроз третьей стороны для мониторинга социальных сетей и темной паутины, чтобы определить, были ли опубликованы утечка данных или информация, относящаяся к ним”; и обновила свою политику конфиденциальности и обработки данных.
Защита Flight Centre в расследовании OAIC включала в себя то, что он не “раскрывал” персональные данные третьим лицам, а скорее предоставлял им доступ к контролируемому им набору данных для ограниченного “использования”.
Фальк написала в своем определении, что ни один из этих терминов не определен в австралийских законах о конфиденциальности.
Однако она решила, что ошибка летного центра сводится к разглашению данных.
Комиссар также обнаружил, что раскрытие, хотя и случайное, было сделано для “вторичной цели” — хакатона, — которая находилась вне основной цели, для которой первоначально были собраны данные.
Flight Centre, однако, “утверждал, что его политика конфиденциальности разрешает использование личной информации в целях разработки продукта, поскольку все клиенты согласились на это в ходе заключения сделок” с компанией.
Однако Фальк не нашел “никаких доказательств … это означает, что отдельные лица прямо дали согласие на использование или раскрытие их личной информации в целях разработки продукта.”
“Политика конфиденциальности[Flight Centre]… ‘объединенная’ информация о широком спектре возможных коллекций, использования и раскрытия личной информации, не давая клиентам возможности выбирать, на какие коллекции, использование и раскрытие информации они согласились, а на какие нет”, — написал комиссар.
“Любое предполагаемое согласие не было добровольным, поскольку политика конфиденциальности не предоставляла людям реальной возможности выбирать, на какие коллекции, использование и раскрытие информации они согласились, а на какие нет.”
Комиссар Фальк сказал, что Летному центру не нужно было выплачивать компенсацию жертвам нарушения, хотя он выплатил 68 500 долларов в качестве расходов на замену паспортов плюс неизвестную сумму за услуги кредитного мониторинга для тех, кто пострадал.
Компания также не пострадает от дальнейших последствий, и комиссар сказал, что она предоставила откровенные ответы на все вопросы и что она больше не проводит мероприятия “design jam”.
Комиссар также принял во внимание влияние Covid-19 на деятельность летного центра.