飞行中心Hackathon于2017年突破,暴露6918家客户数据

在6918客户的信用卡号码留在Hackathon的参与者使用的数据集中时,发生了飞行中心的2017年数据泄露。

违规的细节在决定中揭示了澳大利亚信息专员和隐私专员Angelene Falk认为,航班中心违反了澳大利亚隐私原则,包括使用最初收集的原因以外的目的使用数据。

违约者在当时报告但细节稀缺,除了一些数据以外的是错误的“第三方供应商”。

现在已经透露了飞行中心通过“设计堵塞”在2017年3月三天内持续的“设计堵塞”揭示了数据“创造了技术旅行社的解决方案为了更好地支持销售过程中的客户“。

是第一次飞行中心运行这样的活动,参与者不需要签署非披露协议或任何其他文书工作加入。[ 123]

共有16个团队参加了Hackathon的事件,并获得了一个数据集的访问“2015年和2016年的日历年,其中包含了10600万行的数据”。

“一个文件在该组中,来自被访者的引用,发票和收据系统的2800万行数据,“Falk在判决中写道。

”“数据文件包含6,121,565个个人客户记录。已知包含个人信息的详细信息被滥用,留下了被认为只有客户的出生年份,邮政编码,性别和预订通知ation。“

Walk写道,航班中心回顾了”数据集中的每个数据文件的前1000行样本,以确保数据不包含任何个人信息。“

但是,在“设计堵塞”的最后一天,一个活动参与者注意到“数据的非结构化,自由文本领域”中的信用卡信息,通知航班中心。

在进一步检查时,飞行中心表示该领域“错误地包括4011信用卡和5092个护照号码的详细信息,适用于6918个人。专员写道。

自由文本领域的官方目的是为“雇员沟通信息关于预订“。

写道。另外,没有它无法识别添加到该领域的护照或信用卡号码。

“在自由文本中存储护照信息和信用卡详细信息字段(以适用的策略不一致的方式),并且没有技术控制来防止或检测此类不正确的存储,这使得固有的数据安全风险在数据之前由受访者保护的这种个人信息如何保护违反,“专员写道。

6918客户影响

确定的脚注表明,6918个受影响的人中,“有1012 ......为谁[飞行中心]没有足够的接触细节,因此无法通知。”[123 ]

其余的受影响的客户于2017年7月7日通知。

飞行中心表示,没有证据表明数据被滥用。它确认了“设计果酱”中的所有参与者,即数据被“销毁”。

该公司表示,它扫描其在事件后的IT系统“以识别和删除信用卡存储错误存储的任何其他实例或Passport信息“,并自一周的扫描。

它还改进了其”系统和软件,以确保信用卡信息和护照信息不可能存储在自由文本数据字段“中”;从事“第三方威胁情报专家监控社交媒体和黑暗网络,以确定泄露的数据或与其有关的信息是否已发布”;并更新其隐私和数据处理政策。

航班中心对OAIC调查的辩护包括它没有“披露”个人数据给第三方,而是授予他们访问它控制的数据集“使用“。

粉碎在她的决定中写道,澳大利亚隐私法中没有任何术语。

然而,她统治了飞行中心的误差达到了数据的披露。

]专员们还发现,披露的披露,而偶然,是“次要目的” - 一个Hackathon - 坐在PRI之外最初收集数据的玛利亚目的。然而,航班中心“认为其隐私政策允许在交易过程中同意这一点的所有客户时,允许使用个人信息进行产品开发目的。与公司一起。

然而,粉迹发现“没有证据......这表明个人明确同意使用或披露产品开发目的的个人信息。

”[航班中心的]隐私政策......“捆绑”在没有向客户提供有机会选择他们同意的集合,使用和披露的机会以及他们没有, “委员会TE。

“任何声称同意并非自愿,因为隐私政策没有为个人提供真正的机会,选择他们同意的那些集合,使用和披露,他们没有。”

专员人物表示,航班中心无需赔偿违约的受害者,尽管它在护照更换成本上支付了68,500美元,以及受影响人的信贷监测服务的未知金额。 公司也不会遭受进一步的影响,与专员说它在整个方面提供了坦率的回答,而且它不再运行“设计果酱”活动。 专员还考虑了Covid-19的影响在飞行中心的业务。 关键词2官网(www.ynmzfc.com)。