新加坡航空公司網站出現程序錯誤,超過280名KrisFlyer會員賬戶的個人資料和飛行信息遭泄露,甚至有數人護照號碼或被公開。
新航答複《聯合早報》詢問時指出,公司網站在上星期五出現程序錯誤,信息泄露的事件在當天淩晨2時至中午12時15分之間發生。公司發言人說:“我們得知有數名會員登錄KrisFlyer賬戶時,在特定情況下可看到其他會員的部分信息。”
新航根據系統數據展開調查後發現,共有284名會員受影響,其中277人的名字、電郵、賬號、會員級別、累積的KrisFlyer裏數、近期交易、已訂日後航班和KrisFlyer獎勵等信息遭泄露。剩余七人的護照號碼也可能被公開。
程序的錯誤造成這些資料會在兩名會員同時登錄KrisFlyer賬戶並查詢涉及會員信息和交易時遭泄露。新航補充說,這只有當會員由系統分配到同樣的服務器時才發生。
新航也指出,受影響的會員賬戶沒有出現任何更改,也沒有任何信用卡信息遭泄露。
發言人說:“我們已經確定這是一次性的軟件錯誤,而並非有外人入侵我們的系統或會員的賬戶。”
受影響會員特裏西娅在面簿上說,她上周五登錄KrisFlyer賬戶時,發現網站比平時慢,便嘗試重新登錄。
這名營銷主管發現,網頁在加載後除了有自己的個人資料,還顯示另外一名用戶的個人信息。她說:“我發現我的裏數比平時少,會員級別也不一樣,一開始還以爲賬戶遭入侵。”
除了陌生人的姓名,特裏西娅還看到對方的電郵、之前的飛行信息、航班預約編號,甚至是用信用卡兌換多少裏數等詳細資料。
更讓她驚訝的是,當她就這起安全隱患撥電通知新航後,“新航僅說公司在爲系統進行升級,叫我退出後等24個小時再重新登錄。”
特裏西娅也說,新航職員原本也承諾會提供事故報告,但她卻沒有接獲任何相關報告,直至她再次撥電詢問,對方才叫她等上三至五日。
新航給本報的答複指出,公司已解決程序錯誤的問題,並正同受影響的會員取得聯系,也已主動通知個人資料保護委員會。
“客戶個人資料的安全對新航至關重要,我們也爲這起事件感到十分抱歉。公司已立即采取行動,確保不會重蹈覆轍。”
這不是新航首次出現網安漏洞,科技資訊網站Comparitech.com去年9月曾報道,黑客入侵全球各航空公司的用戶賬號偷取飛行裏數,然後在黑市網站上售賣,近20家航空公司中招,包括新航。
以新航的情況爲例,價值約1500美元的KrisFlyer10萬裏數,只賣884美元,便宜了41%。
大多數常客飛行計劃的裏數除了可換取機票與訂購酒店,也可用來購物或換取其他獎勵。