Cathay Pasific’in yolcu bilgilerini içeren bilgi sistemlerine 13 Mart 2018’de siber saldırı sonucu yetkisiz erişim gerçekleşti. Bu durum şirket tarafından 7 Mayıs 2018’de tespit edildi.
İnceleme sonucunda ulaşılan yolcu bilgileri arasında isim, uyruk, telefon numarası, doğum tarihi, elektronik posta adresi gibi bilgilerin bulunduğu belirlendi. Türkiye’de 1286 kişinin veri ihlalinden etkilendiği, 155 kişinin pasaport numarasına erişildiği anlaşıldı.
Kişisel Verileri Koruma Kurulu, Cathay Pasific’in veri ihlal bildirimi üzerine inceleme başlattı.
Kurul, 13 Mart 2018’de gerçekleşen ihlale ilişkin, şüpheli hareketlerden Cathay Pasific’in 2018’in Mart ayında haberdar olduğu, buna rağmen ihlalin yaklaşık 2 ay sonra, 7 Mayıs 2018’de tespit edildiği sonucuna vardı.
Bu durumun bir güvenlik açığı olduğunu, şirket tarafından gerekli denetimlerin ve kontrollerin yapılmadığını belirleyen Kurul, Kişisel Verilerin Korunması Kanunu’nun 12. maddesinde yer alan veri güvenliğine ilişkin hükümlerin ihlal edildiğine karar verdi.
Kurul, yaşanan veri ihlalinin oluşmaması için kanunda öngörülen gerekli idari ve teknik tedbirlerin alınmadığını tespit ederek, veri güvenliğine ilişkin yükümlülüklerin yerine getirilmediği gerekçesiyle Cathay Pasific’i 450 bin lira idari para cezasına çarptırdı.
Cathay Pasific’in, siber saldırıya ilişkin Kişisel Verileri Koruma Kurulu ve ihlalden etkilenenlere 25 Ekim 2018’de bildirim yapmaya başlamasının kanunda belirtilen “en kısa sürede bildirimde bulunma yükümlülüğü”ne aykırılık teşkil ettiğine karar veren Kurul, bu nedenle de 100 bin lira idari para cezasına hükmetti.