(新加坡29日讯)滨海湾金沙进行大规模软体迁移时,没有采取足够措施保护客户的个人资料,导致超过66万名客户的资料外泄,在暗网被销售。
滨海湾金沙因抵触《个人资料保护法令》,被个人资料保护委员会罚款31万5000新元(约101万9448令吉68仙)。这是新加坡首起涉及综合度假胜地资料外泄的事件。罚金是《个人资料保护法》修正条例自2022年生效以来的第二高。
个人资料保护委员会(简称个资委)周二(28日)发文告说,2023年10月,66万5495名金沙客户的个人资料,包括姓名和联络资料遭来历不明的威胁者非法登录和泄露。这些资料后来被发现在暗网上销售。
“这类资料一旦外泄,可被人进一步滥用,进行钓鱼诈骗或身份盗窃。”
个资委指出,金沙承认违反义务,没有采取合理的保全措施保护所持有的个人资料。事件源自于金沙在2023年3月一次大规模软体迁移工作。
进行这类软体专案时,公司必须确保所有保全措施包含资料存取权限,并且有妥善落实。不过,在上述案件中,影响艺术科学之友(ArtScience Friends)网页的一个识别码却被遗漏,导致恶意威胁者能登入并泄露金沙客户的个人资料。
个资委说,尽管清楚知道这类软体迁移的风险,金沙却只依靠一名职员整理须要纳入新软体的应用程式介面配置,也没进行第二层检查。金沙没有发现软体迁移有遗漏,直到6个月后。这段期间,客户资料没有得到所需的保护。
个资委指出,金沙没有为这种像保全政策一样关键的项目制定妥当程序,是个疏忽。
“作为新加坡一家营业额可观的大型企业,金沙显然有足够的资源保护客户的个人资料。”
在决定罚款时,资委考虑到金沙是自愿承认疏忽,并在发现问题后即刻采取补救措施,包括在同天重启网页的保全设定。
个资委强调,所有企业必须履行个人资料保护法令的义务。保护消费者的个人资料是建立信任的关键。个资委会对违例者采取适当行动。
《个人资料保护法》修正法案生效后,一旦发生涉及至少500人的个资外泄事件,涉事机构除了得通知新加坡政府和受影响的用户,还可被处以更高的罚款,相当于在新加坡高达10%的年度营业额或100万新元(约323万6300令吉),以较高者为准。
针对上述事件的详情,包括是否对涉事职员进行纪律处分,以及对个资委的裁决,金沙受询时不愿置评。
