新加坡航空公司网站出现程序错误,超过280名KrisFlyer会员账户的个人资料和飞行信息遭泄露,甚至有数人护照号码或被公开。
新航答复《联合早报》询问时指出,公司网站在上星期五出现程序错误,信息泄露的事件在当天凌晨2时至中午12时15分之间发生。公司发言人说:“我们得知有数名会员登录KrisFlyer账户时,在特定情况下可看到其他会员的部分信息。”
新航根据系统数据展开调查后发现,共有284名会员受影响,其中277人的名字、电邮、账号、会员级别、累积的KrisFlyer里数、近期交易、已订日后航班和KrisFlyer奖励等信息遭泄露。剩余七人的护照号码也可能被公开。
程序的错误造成这些资料会在两名会员同时登录KrisFlyer账户并查询涉及会员信息和交易时遭泄露。新航补充说,这只有当会员由系统分配到同样的服务器时才发生。
新航也指出,受影响的会员账户没有出现任何更改,也没有任何信用卡信息遭泄露。
发言人说:“我们已经确定这是一次性的软件错误,而并非有外人入侵我们的系统或会员的账户。”
受影响会员特里西娅在面簿上说,她上周五登录KrisFlyer账户时,发现网站比平时慢,便尝试重新登录。
这名营销主管发现,网页在加载后除了有自己的个人资料,还显示另外一名用户的个人信息。她说:“我发现我的里数比平时少,会员级别也不一样,一开始还以为账户遭入侵。”
除了陌生人的姓名,特里西娅还看到对方的电邮、之前的飞行信息、航班预约编号,甚至是用信用卡兑换多少里数等详细资料。
更让她惊讶的是,当她就这起安全隐患拨电通知新航后,“新航仅说公司在为系统进行升级,叫我退出后等24个小时再重新登录。”
特里西娅也说,新航职员原本也承诺会提供事故报告,但她却没有接获任何相关报告,直至她再次拨电询问,对方才叫她等上三至五日。
新航给本报的答复指出,公司已解决程序错误的问题,并正同受影响的会员取得联系,也已主动通知个人资料保护委员会。
“客户个人资料的安全对新航至关重要,我们也为这起事件感到十分抱歉。公司已立即采取行动,确保不会重蹈覆辙。”
这不是新航首次出现网安漏洞,科技资讯网站Comparitech.com去年9月曾报道,黑客入侵全球各航空公司的用户账号偷取飞行里数,然后在黑市网站上售卖,近20家航空公司中招,包括新航。
以新航的情况为例,价值约1500美元的KrisFlyer10万里数,只卖884美元,便宜了41%。
大多数常客飞行计划的里数除了可换取机票与订购酒店,也可用来购物或换取其他奖励。