Hongkong-operatören Cathay Pacific kom under press på torsdagen för att förklara varför det hade tagit fem månader att erkänna att det hade blivit hackat och äventyrat data från 9,4 miljoner kunder. inklusive passnummer och kreditkortsuppgifter.

Flygbolaget sa på onsdagen att det hade upptäckt misstänkt aktivitet på sitt nätverk i mars och bekräftade obehörig åtkomst till vissa personuppgifter i början av maj.

Dock, chefskund och kommersiell officer Paul Loo sa att tjänstemän ville ha ett korrekt grepp om situationen innan de gjorde ett tillkännagivande och inte ville "skapa onödig panik".

Nyheten om läckan skickade aktier i Cathay, som redan var under press när det kämpar för kunderna, sjunkit mer än sex procent till den lägsta nivån på nio år i Hongkongs handel.

Lokala politiker slog till mot transportören, att säga att dess svar bara hade väckt oro.

"Om paniken är nödvändig eller inte är inte upp till dem att bestämma, det är upp till offret att bestämma. Detta är inte alls en bra förklaring för att motivera förseningen, ", sa IT-sektorns lagstiftare Charles Mok.

Och lagstiftaren Elizabeth Quat sa att förseningen var "oacceptabel" eftersom det innebar att kunderna missade fem månaders möjligheter att vidta åtgärder för att skydda sina personuppgifter.

Flygbolaget medgav cirka 860, 000 passnummer, 245, 000 Hong Kong ID-kortsnummer, 403 utgångna kreditkortsnummer och 27 kreditkortsnummer utan kortverifieringsvärde (CVV) användes.

Andra komprometterade passageraruppgifter inkluderar nationaliteter, födelsedatum, telefonnummer, mejl, och fysiska adresser.

Sond lanseras

"Vi har inga bevis för att någon personlig information har missbrukats. Ingens rese- eller lojalitetsprofil har nåtts i sin helhet, och inga lösenord kompromitterades, ", sa vd Rupert Hogg i ett uttalande på onsdagen.

Men Mok sa att allmänheten måste veta hur företaget kan bevisa att så var fallet.

"Ett sådant uttalande ger inte människor absolut förtroende för att vi är helt säkra, och det betyder inte att en del av denna data inte skulle missbrukas senare, " berättade Mok för AFP.

Han påpekade också att EU:s nya allmänna dataskyddsförordning säger att ett sådant brott ska rapporteras inom 72 timmar.

Hongkongs integritetskommissionär Stephen Wong uttryckte "allvarlig oro" över intrånget i ett uttalande på torsdagen och sa att kontoret skulle inleda en kontroll av efterlevnaden med flygbolaget.

"Organisationer i allmänhet som samlar och drar nytta av personuppgifter bör avstå från tanken att bedriva sin verksamhet för att endast uppfylla minimikraven, " sa Wong.

"De bör istället hållas till en högre etisk standard som möter intressenternas förväntningar vid sidan av kraven i lagar och förordningar, " han lade till.

Cathay sa att de hade inlett en utredning och larmade polisen efter att en pågående IT-operation avslöjat obehörig åtkomst av system som innehåller passagerardata.

Företaget håller på att kontakta berörda passagerare och förse dem med lösningar för att skydda sig själva.

Kämpande affärer

Cathay Pacific kämpar redan för att hejda stora förluster eftersom det kommer under press från kinesiska flygbolag med lägre kostnader och rivaler i Mellanöstern.

Det bokade sin första back-to-back årliga förlust i sin sju decenniums historia i mars, och har tidigare lovat att minska 600 anställda inklusive en fjärdedel av ledningen som en del av dess största översyn på flera år.

Det oroliga flygbolaget nämnde inte ekonomisk kompensation för passagerare som drabbats av dataläckan, men British Airways lovade att kompensera kunder när det brittiska flaggbolaget drabbades av ett datahack förra månaden.

BA avslöjade i september att personliga och ekonomiska uppgifter om cirka 380, 000 kunder som bokat flyg på koncernens hemsida och mobilapp under flera veckor hade stulits.

Läckan är den senaste som drabbat globala företag de senaste åren.

Facebook avslöjade förra månaden att upp till 50 miljoner konton brutits av hackare, medan samåkningsjätten Uber förtalades efter ett intrång 2016 av data om 57 miljoner av dess förare och förare avslöjades först i november 2017.

I april, Yahoos holdingbolag bötfälldes med 35 miljoner dollar av amerikanska tillsynsmyndigheter eftersom de inte hade informerat dem förrän i år att hackare hade stulit "kronjuvel"-data inklusive e-postadresser och lösenord.

Och i den amerikanska kreditbyrån Equifax identifierade nästan 150 miljoner amerikanska konsumenters personliga uppgifter avslöjats av ett massivt dataintrång som utlöste ett offentligt ramaskri och en kongressutredning.

2011 drabbades Sony av ett massivt intrång som äventyrade mer än 100 miljoner konton och tvingade det att tillfälligt stoppa sina PlayStation Network- och Qriocity-tjänster.

© 2018 AFP