新加坡標誌性綜合度假村濱海灣金沙的營運實體濱海灣金沙私人有限公司,因 2023 年發生的數據外洩事件,被個人數據保護委員會(Personal Data Protection Commission)罰款 31.5 萬新加坡元(約 24.34 萬美元)。該事件影響了 665,495 名獎賞計劃會員。
濱海灣金沙當時表示,此次事件涉及非博彩業務的Sands Lifestyle Rewards,與「金沙尊賞會」(Sands Rewards Club)無關。
個人數據保護委員會在聲明中指出,濱海灣金沙承認違反《個人數據保護法》規定的「保護義務」,未採取合理的安全措施保護其持有之個人數據。該事件發生於 2023 年 3 月的大規模軟件遷移過程中。
委員會表示:「濱海灣金沙在從舊軟件遷移至新軟件時,必須確保安全政策(包括數據訪問權限)得到落實。這意味著透過應用程式介面(APIs)訪問的所有相關應用程式及相應識別碼,在遷移前後均需妥善覆蓋相應安全機制。」
「然而,遷移過程中遺漏了影響Art Science Friends網頁的其中一個識別碼。由該網頁不再具備適當的安全政策,惡意攻擊者得以訪問並竊取顧客的個人數據。」
委員會指出,雖然相關風險明確,濱海灣金沙仍僅指派一名員工負責手動編製應用程式介面配置清單,並未實施適當的二層覆核機制。
該公司亦在長達六個月的時間內未能發現並糾正這一遺漏,導致顧客個人數據處於未受保護狀態。
聲明稱:「濱海灣金沙未能制定適當流程,確保遷移後安全政策的有效執行,屬於疏忽違反保護義務。作為在新加坡擁有龐大營業額的大型企業,濱海灣金沙顯然具備保護顧客個人數據所需的資源。」
個人數據保護委員會解釋,此次罰款金額已考慮數據外洩的規模(未經同意泄露逾 50 萬名顧客的個人數據),同時亦計及濱海灣金沙自願承認法律責任及即時實施補救措施等因素。
同期有多間大型綜合度假村運營商遭受網絡攻擊,濱海灣金沙是其中之一,其餘還包括美國博彩巨頭美高梅國際酒店及凱撒娛樂。
