還記得去濱海灣金沙(Marina Bay Sands)登記會員、買票、參加活動時留下的個人資料嗎?現在傳出——這些資料被黑客盜走,還在暗網上兜售。
事情是怎麼發生的?
新加坡個人資料保護委員會(簡稱個資委)在周二(10月28日)公布調查結果:濱海灣金沙在2023年3月進行一次大型軟體更換作業時,出現嚴重疏漏,導致66萬5495名客戶的個人資料(包括姓名、電話、郵箱等)被黑客入侵、外泄。
受影響的系統是金沙旗下的藝術科學博物館「ArtScience Friends」會員網頁。原本在系統遷移時應該要更新的一個識別碼(API ID)——被遺漏了!結果黑客就從這個小洞鑽了進來。
更糟的是,這個漏洞整整六個月才被發現。在這期間,黑客早已把資料拿去賣了。
圖源:新加坡個人資料保護委員會
金沙又是怎麼解釋的?
他們說軟體更換那次比較特殊、複雜,無法自動化操作,只能靠人工。而且這份工作交給了能力最強的員工來處理。對此,新加坡個資委認為:儘管清楚知道這類軟體更換作業的風險,金沙卻只靠一名職員人工整理,沒有第二層覆核機制; 也沒有完善的風險管理流程就是疏忽。
對此個資委決定是?
個資委直言不諱:「你是大公司,有資源、有錢,本來就該做到更好!」他們認為金沙明顯疏忽,沒有履行《個人資料保護法令》(PDPA)下的保護義務。原本罰款定為45萬元,但因為金沙在發現問題後立刻補救、通知客戶,所以減到31萬5000元。
不過,這仍是新加坡歷來第二高的個資泄露罰金。第一名是2019年的IHiS(新聯科技 Synapxe 前身)——當時因為醫療資料外泄,罰了75萬元。
老實說,金沙的解釋——什麼「技術限制」「只能人工操作」——聽起來不是不能理解。但問題是你又不是第一次做系統升級的公司,而且手裡握著的是幾十萬客戶的資料,這種時候還完全靠人工操作,真的說不過去吧?這就好比開飛機只靠一個機長、連副機師都不設——再厲害的人也可能出錯。
結果一出事,受傷的不是公司,而是那些信任你的客戶。畢竟,一旦資料落到黑客手裡,釣魚詐騙、身份盜用只是時間問題。
如果你曾經在金沙註冊會員,不妨注意一下近期有沒有奇怪的郵件、簡訊或電話。
資料外泄,不只是新聞標題,而是可能影響你我生活的現實。
