(新加坡28日讯)滨海湾金沙进行大规模软件迁移时,没有采取足够措施保护客户的个人资料,导致超过66万名客户的资料外泄,在暗网上被销售。滨海湾金沙因抵触个人资料保护法令,被个人资料保护委员会罚款31万5000元(新币,下同;约102万1041令吉)。
《联合早报》报道,这是新加坡首起涉及综合度假胜地资料外泄的事件。罚金是该国个人资料保护法令修正条例自2022年生效以来的第二高。
ADVERTISEMENT
新加坡个人资料保护委员会(简称个资委)今日发文告说,2023年10月,66万5495名金沙客户的个人资料,包括姓名和联系资料,遭来历不明的威胁者非法登入和泄露。这些资料后来被发现在暗网上销售。
“这类资料一旦外泄,可被人进一步滥用,进行钓鱼诈骗或身份盗窃。”
个资委指出,金沙承认违反义务,没有采取合理的保安措施保护所持有的个人资料。事件源于金沙在2023年3月一次大规模软件迁移工作。
进行这类软件项目时,公司必须确保所有保安措施包括数据访问权限,都有妥善落实。
不过,在上述案件中,影响艺术科学之友(ArtScience Friends)网页的一个标识符却被遗漏,导致恶意威胁者能登入和泄露金沙客户的个人资料。
个资委说,尽管清楚知道这类软件迁移的风险,金沙却只依靠一名职员整理须要纳入新软件的应用程序编程接口配置,也没进行第二层检查。金沙没有发现软件迁移有遗漏,直到6个月后。这期间,客户资料没有得到所需的保护。
个资委指出,金沙没有为这种像保安政策一样关键的项目制定妥当程序,是个疏忽。
“作为新加坡一家营业额可观的大型企业,金沙显然有足够的资源保护客户的个人资料。”
在决定罚款时,个资委考虑到金沙是自愿承认疏失,并在发现问题后即刻采取补救措施,包括在同天重启网页的保安设置。
个资委强调,所有企业必须履行个人资料保护法令的义务。保护消费者的个人资料是建立信任的关键。个资委会对违例者采取适当行动。
新加坡个人资料保护法令修正法案生效后,一旦发生涉及至少500人的个资外泄事件,涉事机构除了得通知政府和受影响的用户,还可被处以更高的罚款,相当于在新加坡高达10%的年度营业额或100万元(约324万1400令吉),以较高者为准。
针对上述事件的详情,包括是否对涉事职员进行纪律处分,以及对个资委的裁决,金沙受询时不愿置评。
ADVERTISEMENT
热门新闻
百格视频
ADVERTISEMENT
