滨海湾金沙因2023年数据泄露事件被罚款31万5000新元

【新加坡】个人数据保护委员会（Personal Data Protection Commission, 简称PDPC）因一起数据泄露事件，对滨海湾金沙（Marina Bay Sands, 简称MBS）处以31万5000新元的罚款。

2023年10月，约66万5000名MBS顾客的个人数据被一个或多个身份不明的威胁行为者非法访问和窃取。这些受影响的数据包括可识别顾客身份的姓名和联系方式，后来被发现在暗网上出售。

PDPC于周二（10月28日）表示，在数据泄露事件发生七个月前的一次大规模软件迁移过程中，MBS“未能采取合理的安全措施”。

该委员会补充道：“MBS未能在安全策略这样关键的环节建立适当的流程，是因疏忽而违反了其保护义务。”

“作为一家在新加坡拥有可观营业额的大型企业，MBS显然拥有保护其顾客个人数据所需的资源。”

在迁移过程中，一个影响“艺术科学之友”（Art Science Friends）网页的标识符被遗漏，这使得一个或多个恶意威胁行为者能够访问并窃取其顾客的个人数据。

PDPC发现，MBS仅依赖一名员工手动将一份应用程序编程接口（application programming interface）配置列表编译到新软件中，并且没有实施第二层检查机制。

该综合度假胜地随后在长达六个月的时间里未能发现并纠正这一疏漏，致使其顾客的个人数据处于不受保护的状态。

PDPC补充说，31万5000新元的罚款金额考虑了此次数据泄露的规模。此前，针对在新加坡年营业额超过1000万新元的大型企业，最高罚款金额已于2022年上调。这项调整为处以高达其年营业额10%的罚款铺平了道路。

SEE ALSO

Marina Bay Sands says data of 665,000 customers hacked

MBS Q3 earnings reach nearly S$1 billion following hotel renovation completion

委员会还考虑了MBS“主动承认责任”以及其采取“即时补救措施”等因素。这些措施包括在事发当天重新激活网站的安全措施。

2023年，在数据泄露事件发生几周后，MBS首席运营官保尔·敦（Paul Town）曾表示，当时没有证据表明未经授权的第三方滥用了这些数据，对受影响的顾客“造成伤害”。