國泰航空於24日晚間公告，公司及其全資子公司港龍航空，大約940萬名乘客個人資料包括護照號碼、身份證號碼、信用卡號碼等曾外洩，在3月已在資訊系統發現可疑活動，5月初確認個人資料曾外洩。香港警方表示，國泰航空已與警方聯絡，目前正在了解整起事件。

根據《香港01》25日報導，國泰航空對於24日才公布此事對外界致歉。國泰航空顧客及商務總裁盧家培25日香港廣播節目《千禧年代》時表示，國泰航空希望全面查清後再公布，這是避免引起無謂恐慌，對此為公司「感到抱歉，但完全無隱瞞」。

We have discovered unauthorised access to some of our passenger data. For Data Security Event support, please DM @cxinfosec for assistance.

— Cathay Pacific (@cathaypacific) 2018年10月24日

信用嚴重受損　未來恐遭罰153億元

受到上述利空衝擊，國泰航空25日股價一度下挫5.4％。產業專家指出，股價跌幅目前不是國泰航空關注重點，信譽與未來可能面臨的罰金才是。

根據香港媒體《東網》25日報導，歐盟5月生效的《通用資料保護規則》（General Data Protection Regulation ，GDPR）規定，企業的客戶個人資料外洩應在知悉事件後72小時內通報，否則或面臨公司全球總收入4%，或2000萬歐元的罰款，計算以較高者為準。

據國泰航空2017年總營收972.84億港元計算，若罰款4%，相當於38.9億港元（約新台幣153.61億元）。

Another day, another #breach as #CathayPacific announced that they suffered a #databreach that potentially affects up to 9.4 million passengers. What's more is that they knew about this for over 6 months! #GDPR violation? #infosec https://t.co/kTUynfF2ik

— Adrien Kwok (@deltatux) 2018年10月25日

姓名、國籍、信用卡護照號碼資訊外洩

國泰航空指出，外洩的客戶個人資料包括乘客姓名、國籍、出生日期、電話號碼、電郵地址、地址、護照號碼、身份證號碼、飛行常客計劃的會員號碼、顧客服務備註，以及過往的飛行記錄資料。

另外，有403張已逾期的信用卡號碼，以及另有27張無安全碼的信用卡號碼曾被不當閱覽；另涉及約有86萬個護照號碼和24.5萬個香港身份證號碼，而每位被不當閱覽資料皆不同。

3月國泰首次在資訊系統發現可疑的活動，並即時採取行動阻止，同時進一步加強公司資料系統保安措施，並於5月初確認個人資料曾被未獲授權閱覽，自此，公司一直密切分析相關資料及識別受影響的人士，並確認資料可否被重建。該公司又指出，受影響的資訊與國泰的航班運作為兩個完全獨立的系統。

Cathay Pacific data breach affects up to 9.4 million customers https://t.co/x7Whvi46lr pic.twitter.com/zMiQHUqAwG

— Netcrux (@netcrux1) 2018年10月25日

設專屬網站、電郵處理客戶諮詢事宜

國泰航空行政總裁何杲對事件為乘客帶來的憂慮深表歉意，正在透過不同途徑聯絡受影響的乘客，向他們提供保障個人資料的建議及步驟，以及由某產業領先的網路安全公司協助下展開全面調查，同時進一步加強集團的資訊系統保安措施。

何杲透露，未有證據顯示任何個人資料曾被不當動用，沒有任何一位乘客的旅行及常客計劃資料被全部閱覽、沒有任何密碼外洩。

國泰航空設立專屬網站（infosecurity.cathaypacific.com），顧客可於網站上獲得有關事件的資訊及保障個人資料的建議；顧客查詢專線，將於25日中午12時30分起啟用（客戶服務熱線號碼詳見於上述專屬網站），電子郵件查詢可發至infosecurity@cathaypacific.com。國泰航空補充，若任何顧客認為可能受是次事件影響，可與國泰航空聯絡。