澳大利亚信息专员和隐私专员安吉琳·福尔克(Angelene Falk)已作出裁决,认定飞行中心在2017年3月24日至3月26日的周末举行“设计堵塞”活动时,侵犯了6918名客户的隐私。
在活动的第一天,飞行中心将包含2015年和2016年日历年生产数据的数据集交给了16支参赛队伍,共有90人。
该数据集有1.06亿行数据,该公司认为它混淆了客户的个人信息,只留下客户的出生年份、邮政编码、性别和预订信息。在由Falk做出的决定,飞行中心的商业情报和澳大利亚信息安全团队以及活动协调员审查了前1项,000行数据以确认文件中没有敏感信息。
然而,在活动开始36小时后,其中一名参与者在名为“ProductName”的列下发现一个包含信用卡信息的自由文本字段。然后审查了<40p的门户网站和受影响的用户名单和信用卡。757个出生日期也被确定。
在得知违规行为后,该公司阻止了对该文件的访问,并将该列缩短为10个字符,从参与者那里得到口头确认,他们已经销毁了该文件的所有副本,并开始了事件后审查。公司会通知那些付款或护照信息被破坏的人,提供为期一年的免费身份盗窃和信用监控服务,当客户选择更换护照时,飞行中心会为更换护照的费用埋单。
Falk说,飞行中心认定这是一个低风险事件,因为它不涉及入侵,事件不是恶意的,已知有许多第三方可以访问数据,而且没有证据表明是误用。
Falk写道,违规的核心是飞行中心除了遵守公司政策外,没有任何技术控制措施来阻止旅行顾问将护照信息和信用卡详细信息输入自由文本字段。
“缺乏技术控制来防止或检测此类不正确的存储,这就导致了固有的数据安全风险,即在数据泄露之前,受访者如何保护此类个人信息,”Falk说。
在事件发生时,飞行中心能够检测到其某些系统中信用卡信息存储不当,但无法检测其报价、发票或收据系统。该公司现在每周扫描一次,以便在自由文本字段中存储付款和护照信息。
Falk还批评该公司在其首次运行的活动中就交出了如此庞大的数据集,而且不要求参与者签署协议。
福尔克周一表示:“这一决定强烈提醒各组织在涉及个人信息处理的新项目中设计隐私,特别是在大型数据集将与第三方供应商共享进行分析的情况下。”。
“组织应假设可能会发生人为错误,例如无意中向供应商披露个人信息,并采取措施加以预防。
“他们还应该对数据项目进行隐私影响评估,以帮助识别和解决所有相关隐私影响。”
由于公司反应迅速,在应呈报的数据泄露计划生效,为这些影响提供了许多服务,付费监控黑暗网络,以查看细节是否被滥用,在与她的办公室打交道时,福尔克说,除了宣布飞行中心不再重复其行动外,采取进一步行动是不恰当的。
