新加坡綜合度假村營運商濱海灣金沙(Marina Bay Sands)因2023年發生大規模顧客資料外洩事件,遭新加坡個人資料保護委員會(PDPC)罰款31.5萬新元(約24.3萬美元)。當局指出,事件涉及超過66.5萬名顧客的個資被非法存取並外流,部分資料甚至出現在暗網上出售。
PDPC於近日公布調查結果,指濱海灣金沙違反《個人資料保護法》中的「資料保護義務」(protection obligation),未採取合理安全措施保護顧客資訊。該事件源於2023年3月的一次大型軟體系統遷移作業,但公司直至同年10月才發現問題,意味顧客資料長達半年處於無防護狀態。
根據報告,當時濱海灣金沙在進行系統升級時,因遺漏某網頁技術識別碼(technical identifier),導致安全策略失效,使黑客能夠入侵並竊取資料。受影響的資訊包括顧客姓名與聯絡方式等身分資料。
當局指出,濱海灣金沙在進行如此規模的系統遷移時,卻僅指派一名員工負責手動彙整關鍵安全技術資料,且未設第二層覆核,顯示內部監管明顯不足。該疏漏在長達六個月內未被發現,令大批顧客資料暴露於風險之中。
濱海灣金沙方面於2023年11月回應外媒時表示,公司在10月20日發現資料外洩事件,初步調查顯示,於10月19至20日期間,有不明人士未經授權進入其忠誠計劃會員資料庫。公司當日立即採取補救措施並重新啟動網站安全防護。
當日立即修復漏洞
PDPC在公告中指出,金沙未建立完善流程以確保遷移後的安全政策得以落實,屬「疏忽違反保護義務」。委員會強調,作為一家營收龐大的大型企業,濱海灣金沙「具備充分資源保障顧客資料安全」,但未能落實基本防護措施,責任不可推卸。
監管機構在評估罰款時考慮了事件規模與影響範圍,指出該次外洩導致逾半百萬名顧客資料在未經同意下曝光,屬嚴重違規。不過,由於濱海灣金沙主動承認責任,並在發現當日立即修復漏洞、加強網站防護,因此罰金金額已酌情調整。
濱海灣金沙為美國拉斯維加斯金沙集團(Las Vegas Sands Corp)旗下子公司。事件引發外界關注大型娛樂集團在資料保護方面的內控與問責機制。
PDPC最後重申,新加坡企業在數碼轉型過程中必須強化資安治理,建立多層防護與審核制度,以防止技術遷移或升級期間出現漏洞。當局強調,個資保護是企業社會責任的核心之一,任何疏忽都可能引發嚴重法律後果與聲譽損害。 (編輯部)
下載APP