新加坡濱海灣金沙酒店因2023年發生重大數據泄露事件,被新加坡個人數據保護委員會(PDPC)處以31.5萬新元(約24.33萬美元)罰款。該事件導致66.5萬名顧客個人資訊在暗網泄露,持續時間超過六個月。泄露數據來源於酒店LifeStyle會員獎勵計劃,包含姓名、郵箱、電話、國籍及會員資訊,但賭場獎勵計劃未受影響。PDPC認定酒店在數據遷移過程中存在明顯疏忽,未實施足夠安全保護措施,違反數據保護義務。
事件經過與處罰決定
2023年3月至10月,濱海灣金沙酒店在軟體遷移過程中未有效保護數據,導致665,495名顧客資訊暴露。PDPC調查發現,酒店僅指派一名員工負責API配置且缺乏二次核查,致使威脅行為者在10月非法訪問並竊取數據。PDPC指出酒店忽視明顯風險,完成大規模數據遷移卻未建立適當安全流程,最終處以31.5萬新元罰款,並強調其作為大型企業本應具備充分數據保護能力。
泄露數據內容與風險
泄露數據源自酒店LifeStyle會員計劃,包括顧客姓名、電子郵箱、電話號碼、居住國家、會員編號及等級等資訊,賭場相關數據未被觸及。PDPC表示,這些資訊可能被用於網路釣魚、詐騙或身份盜竊等犯罪活動,對顧客構成持續安全威脅。酒店在事件發生後承諾加強系統安全,並建議用戶監控賬戶、定期更換密碼並警惕可疑活動。
企業回應與監管背景
濱海灣金沙酒店在事件後迅速展開調查,並聘請外部網路安全公司協助處理,母公司拉斯維加斯金沙集團承諾進一步強化數據保護系統。新加坡於2022年修訂法規,對年營業額超1000萬新元的企業最高可處營業額10%的罰款。濱海灣金沙酒店去年淨收入達54.3億新元,此次罰款金額基於其違規情節及響應措施綜合判定。
