Kendt fly-selskab får millionbøde: Fri adgang i årevis til ni millioner kunders pas, navne og adresser

Der har i årevis været fri adgang for hackere til en lang række personfølsomme data for alle kunderne hos flyselskabet Cathay Pacific, der nu får kæmpebøde i Storbritannien.

Artikel top billede

(Foto: Dan Jensen)

500.000 pund eller hvad der svarer til 4,4 millioner kroner. Så meget skal fly-selskabet Cathay Pacific betale i bøde for i årevis at have undladt at sikre milioner af kunders data.

Bøden kommer fra det britiske ICO - Information Commissioners Office - der svarer lidt til det danske Datatilsynet.

Her faldt man i en stikprøve-kontrol over en række alvorlige fejl og mangler i flyselskabets cybersikkerheds-setup.

Blandt andet var beskyttelsen af kundesystemet med data på 9,5 millioner kunder stærkt mangefuldt.

Det har betydet, at vejen har været banet for uautoriseret adgang til de mange millioner kunders data i en årelang periode fra oktober 2014 til maj 2018, hvor den alvorlige sikkerhedsbrist blev opdaget og lukket.

I perioden har hackere og andre således haft adgang til vigtige personlige informationer på de enkelte kunder, som pas-data, navn, fødselsdato, adresser, telefonnummer og rejse-informationer i lange baner.

Ifølge ICO har det alene kunnet ske, fordi Cathay Pacifics backup hverken har været beskyttet af password eller krypteret, mens servere, der har været rettet direkte mod internettet, ikke har været patchet på trods af en kendt sårbarhed. Systemerne har heller haft antivirus, fremgår det.

Cathay Pacific blev først opmærksom på problemet i marts 2018, da den pågældende database blev udsat for et brute force-angreb.

Cathay Pacific beklager fejlen.

“Selskabet vil gerne igen udtrykke sin fortrydelse og undskylde inderligt for denne incident. Vi har investeret betydelige beløb i it-infrastruktur og it-sikkerhed i de seneste tre år [efter fejlen blev opdaget, red] og vil fortsætte med at investere i disse områder,” lyder det i en meddelelse fra Cathay Pacific.

Sagen tog sin begyndelse før GDPR blev indført. Det er grunden til, at bøden ‘kun’ er på en halv million pund, som er den maksimale bøde i den daværende lov, Data Protection Act 1998.

Var det sket efter GDPR, ville bøden sandsynligvis have været markant højere.

Du finder hele afgørelsen fra ICO her.

Læses lige nu

    Annonceindlæg fra Computerworld

    AI skal frigøre tid og skabe nærvær i samtalen med borgeren

    Flere kommuner går nu i gang med at bruge AI-understøttet dokumentation. Målet er, at sagsbehandlere skal bruge mindre tid på referater og registrering – og mere tid på nærvær i mødet med borgeren.

    Netcompany A/S

    Operations Engineer til drift af Infrastruktur

    Københavnsområdet

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    MLOps Engineer til opbygning af Forsvarets nye AI-platform

    Midtjylland

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Tekniske specialister til ITSM og CMDB til opbygning af Forsvarets nye Digital Backbone

    Nordjylland

    Navnenyt fra it-Danmark

    Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse
    Immeo har pr. 1. maj 2026 ansat Sofie Amalie Buur som Consultant. Hun kommer fra en stilling som Frontend Engineer & UI/UX Designer hos Valyrion. Hun er uddannet Cand.it. Softwaredesign ved ITU. Nyt job
    Lauren De Ventura,  emagine Expertise A/S, er pr. 1. juli 2026 udnævnt som Chief People Officer, fast del af den globale ledelse og bestyrelsesmedlem. Hun er uddannet HR-ledelse på tværs af konsulent-, staffing- og IT-branchen. Hun beskæftiger sig med skabe rammerne for emagine som et sted, hvor IT-talenter kan opbygge meningsfulde karrierer. Udnævnelse

    Lauren De Ventura

    emagine Expertise A/S

    Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

    Michael Schou

    Netip A/S