新加坡滨海湾金沙酒店因2023年发生重大数据泄露事件,被新加坡个人数据保护委员会(PDPC)处以31.5万新元(约24.33万美元)罚款。该事件导致66.5万名顾客个人信息在暗网泄露,持续时间超过六个月。泄露数据来源于酒店LifeStyle会员奖励计划,包含姓名、邮箱、电话、国籍及会员信息,但赌场奖励计划未受影响。PDPC认定酒店在数据迁移过程中存在明显疏忽,未实施足够安全保护措施,违反数据保护义务。
事件经过与处罚决定
2023年3月至10月,滨海湾金沙酒店在软件迁移过程中未有效保护数据,导致665,495名顾客信息暴露。PDPC调查发现,酒店仅指派一名员工负责API配置且缺乏二次核查,致使威胁行为者在10月非法访问并窃取数据。PDPC指出酒店忽视明显风险,完成大规模数据迁移却未建立适当安全流程,最终处以31.5万新元罚款,并强调其作为大型企业本应具备充分数据保护能力。
泄露数据内容与风险
泄露数据源自酒店LifeStyle会员计划,包括顾客姓名、电子邮箱、电话号码、居住国家、会员编号及等级等信息,赌场相关数据未被触及。PDPC表示,这些信息可能被用于网络钓鱼、诈骗或身份盗窃等犯罪活动,对顾客构成持续安全威胁。酒店在事件发生后承诺加强系统安全,并建议用户监控账户、定期更换密码并警惕可疑活动。
企业回应与监管背景
滨海湾金沙酒店在事件后迅速展开调查,并聘请外部网络安全公司协助处理,母公司拉斯维加斯金沙集团承诺进一步强化数据保护系统。新加坡于2022年修订法规,对年营业额超1000万新元的企业最高可处营业额10%的罚款。滨海湾金沙酒店去年净收入达54.3亿新元,此次罚款金额基于其违规情节及响应措施综合判定。
