滨海湾金沙被罚31万！将66万客户资料外泄，黑客疑在暗网流通

还记得去滨海湾金沙（Marina Bay Sands）登记会员、买票、参加活动时留下的个人资料吗？现在传出——这些资料被黑客盗走，还在暗网上兜售。

事情是怎么发生的？

新加坡个人资料保护委员会（简称个资委）在昨日（10月28日）公布调查结果：滨海湾金沙在2023年3月进行一次大型软件更换作业时，出现严重疏漏，导致66万5495名客户的个人资料（包括姓名、电话、邮箱等）被黑客入侵、外泄。

受影响的系统是金沙旗下的艺术科学博物馆“ArtScience Friends”会员网页。原本在系统迁移时应该要更新的一个识别码（API ID）——被遗漏了！结果黑客就从这个小洞钻了进来。

更糟的是，这个漏洞整整六个月才被发现。在这期间，黑客早已把资料拿去卖了。

图源：新加坡个人资料保护委员会

金沙又是怎么解释的？

他们说软件更换那次比较特殊、复杂，无法自动化操作，只能靠人工。而且这份工作交给了能力最强的员工来处理。对此，新加坡个资委认为：尽管清楚知道这类软件更换作业的风险，金沙却只靠一名职员人工整理，没有第二层复核机制； 也没有完善的风险管理流程就是疏忽。

对此个资委决定是？

个资委直言不讳：“你是大公司，有资源、有钱，本来就该做到更好！”他们认为金沙明显疏忽，没有履行《个人资料保护法令》（PDPA）下的保护义务。原本罚款定为45万元，但因为金沙在发现问题后立刻补救、通知客户，所以减到31万5000元。

不过，这仍是新加坡历来第二高的个资泄露罚金。第一名是2019年的IHiS（新联科技 Synapxe 前身）——当时因为医疗资料外泄，罚了75万元。

老实说，金沙的解释——什么“技术限制”“只能人工操作”——听起来不是不能理解。但问题是你又不是第一次做系统升级的公司，而且手里握着的是几十万客户的资料，这种时候还完全靠人工操作，真的说不过去吧？这就好比开飞机只靠一个机长、连副机师都不设——再厉害的人也可能出错。

结果一出事，受伤的不是公司，而是那些信任你的客户。毕竟，一旦资料落到黑客手里，钓鱼诈骗、身份盗用只是时间问题。

如果你曾经在金沙注册会员，不妨注意一下近期有没有奇怪的邮件、简讯或电话。

资料外泄，不只是新闻标题，而是可能影响你我生活的现实。