濱海灣金沙。(圖:iStock)
濱海灣金沙因前年10月的客戶資料外泄事件,被個人資料保護委員會罰款31萬5000元。
這起資料外泄事件發生在2023年10月,濱海灣金沙大約66萬5500名顧客的個人資料被不明人士非法讀取和外泄。包含這些顧客姓名和聯絡資料的信息過後被發現在暗網兜售。
個人資料保護委員會說,濱海灣金沙承認,在2023年3月的大規模軟體遷移行動中,沒有採取合理的安全措施,保護所掌握的個人數據,違反了保護義務。當時,影響濱海灣金沙「藝術科學博物館之友」網頁的一個標識符在軟體遷移過程中被遺漏,使得惡意攻擊者能夠竊取顧客的個人數據。這個問題一直到六個月後才被發現和糾正。
委員會說,儘管這類軟體遷移行動中存在明確的風險,濱海灣金沙卻僅靠一名職員,以人工方式整理轉入新軟體的應用程式編程接口(API)配置清單,而且沒有落實第二層檢查。
有鑒於此,委員會對濱海灣金沙開罰31萬5000元。當局是根據2021個人資料保護修正案提出的更新版罰款金額框架,決定罰款額。
根據修法內容,在新加坡年營業額超過1000萬元的大型機構如果違反相關條例,所面對的最高罰款金額可高達年營業額的10%。
