濱海灣金沙進行大規模軟體遷移時,沒有採取足夠措施保護客戶的個人資料,導致超過66萬名客戶的資料外洩,在暗網上被銷售。濱海灣金沙因抵觸《個人資料保護法令》,被個人資料保護委員會罰款31萬5,000元。
這是我國首起涉及綜合度假勝地資料外洩的事件。罰金是《個人資料保護法》修正條例自2022年生效以來的第二高。
個人資料保護委員會(簡稱個資委)星期二(10月28日)發文告說,2023年10月,66萬5495名金沙客戶的個人資料,包括姓名和聯絡資料遭來歷不明的威脅者非法登錄和洩露。這些資料後來被發現在暗網上銷售。
“這類資料一旦外洩,可被人進一步濫用,進行釣魚詐騙或身份盜竊。”
個資委指出,金沙承認違反義務,沒有採取合理的保全措施保護所持有的個人資料。事件源自於金沙在2023年3月一次大規模軟體遷移工作。
進行這類軟體專案時,公司必須確保所有保全措施包含資料存取權限,並且有妥善落實。不過,在上述案件中,影響藝術科學之友(ArtScience Friends)網頁的一個識別碼卻被遺漏,導致惡意威脅者能登入並洩露金沙客戶的個人資料。
個資委說,儘管清楚知道這類軟體遷移的風險,金沙卻只依靠一名職員整理須要納入新軟體的應用程式介面配置,也沒進行第二層檢查。金沙沒有發現軟體遷移有遺漏,直到六個月後。這段期間,客戶資料沒有得到所需的保護。
個資委指出,金沙沒有為這種像保全政策一樣關鍵的項目制定妥當程序,是個疏忽。 “作為新加坡一家營業額可觀的大型企業,金沙顯然有足夠的資源保護客戶的個人資料。”
在決定罰款時,資委考慮到金沙是自願承認疏忽,並在發現問題後即刻採取補救措施,包括在同天重啟網頁的保全設定。
個資委強調,所有企業必須履行個人資料保護法令的義務。保護消費者的個人資料是建立信任的關鍵。個資委會對違例者採取適當行動。
《個人資料保護法》修正法案生效後,一旦發生涉及至少500人的個資外洩事件,涉事機構除了得通知政府和受影響的用戶,還可被處以更高的罰款,相當於在本地高達10%的年度營業額或100萬元,以較高者為準。
針對上述事件的詳情,包括是否對涉事職員進行紀律處分,以及對個資委的裁決,金沙受詢時不願置評。
事件源自於金沙在2023年3月一次大規模軟體遷移工作。 (陳淵莊攝)
新聞轉載於新加坡聯合早報
估計損失高達-19-億英鎊,為英國歷來之最.jpg)
