Marina Bay Sands didenda S$315,000 atas kebocoran data; lebih 665,000 pelanggan terjejas
Anggaran Waktu Membaca:
Pemancing berjalan di sepanjang pemecah ombak sementara Marina Bay Sands pada 14 Oktober 2025. (Gambar: AFP/Roslan Rahman)
SINGAPURA: Marina Bay Sands (MBS) didenda S$315,000 oleh badan pemantau privasi data Singapura berhubung kebocoran data dua tahun lalu yang menjejas lebih 665,000 pelanggan.
Pada Oktober 2023, data peribadi 665,495 pelanggan Marina Bay Sands "diakses secara haram dan diekstrak oleh pelaku ancaman yang tidak diketahui", menurut Suruhanjaya Perlindungan Data Peribadi (PDPC) pada Selasa (28 Okt).
Data yang bocor itu kemudian didapati dijual di laman web gelap (dark web), menurut PDPC.
MBS menyatakan pada November 2023 bahawa kebocoran itu melibatkan data ahli program ganjaran LifeStyle, termasuk nama, alamat emel, nombor telefon, negara tempat tinggal serta nombor dan peringkat keahlian.
Ia menambah siasatan menentukan bahawa pihak ketiga yang tidak diketahui mengakses data dan data keahlian dari program ganjaran kasino MBS pula tidak terjejas.
Badan pemantau itu menyatakan pada Selasa bahawa MBS mengakui melanggar Kewajipan Perlindungan di bawah Akta Perlindungan Data Peribadi (PDPA) apabila ia gagal mengambil langkah keselamatan sewajarnya semasa latihan penghijrahan perisian berskala besar pada Mac 2023.
Latihan itu melibatkan pemindahan data daripada sofwe lama ke sofwe baharu.
Ini termasuk semua aplikasi yang boleh diakses menerusi Antara Muka Pengaturcaraan Aplikasi (API) dan pengecam masing-masing, yang perlu dipindahkan sewajarnya.
Menurut makluman yang diterbitkan oleh Agensi Keselamatan Siber Singapura (CSA) pada Oktober 2022, sebuah API memudahkan komunikasi perkhidmatan antara dua atau lebih aplikasi dan melaksanakan peranan penting kerana ia memberikan fleksibiliti dengan memudahkan reka bentuk perisian, pentadbiran dan penggunaan.
Walaubagaimanapun, ia juga merupakan komponen sistem yang paling kerap terdedah dan oleh itu perlu dilindungi daripada serangan.
"Adalah penting untuk memastikan bahawa dasar-dasar keselamatan dilaksanakan semasa melakukan penghijrahan daripada sofwe lama ke baharu, termasuk hak capaian data," menurut PDPC.
"Dalam kes ini, salah satu pengecam yang menjejas halaman web Rakan Sains Seni (Art Science Friends) dikecualikan dalam penghijrahan itu. Ini membenarkan pelakon ancaman yang berniat jahat untuk mengakses dan mengeluarkan data peribadi pelanggannya."
Kebocoran data sedemikian boleh dieksploit lagi dalam skim pancingan data atau kecurian identiti, ia menambah.
Walaupun terdapat "risiko jelas" dalam latihan migrasi sedemikian, PDPC menarik perhatian bahawa MBS bergantung kepada seorang kakitangan untuk menyusun secara manual senarai konfigurasi API ke dalam sofwe baharu dan tidak melakukan semakan lapisan kedua.
Oleh demikian, MBS gagal mengesan dan membetulkan pengecualian itu selama enam bulan, menyebabkan data peribadi pelanggan tidak dilindungi.
"Kegagalan MBS untuk melaksanakan proses yang sewajarnya bagi sesuatu yang kritikal seperti dasar keselamatan adalah satu pelanggaran yang cuai terhadap Kewajipan Perlindungan," menurut PDPC.
"Sebagai sebuah perusahaan besar dengan perolehan yang ketara di Singapura, ia jelas bahawa MBS mempunyai sumber yang diperlukan untuk melindungi data peribadi para pelanggannya."
DENDA AMBIL KIRA SKALA KEBOCORAN DATA
Pada Oktober 2022, parlimen menaikkan penalti kewangan maksimum bagi pertubuhan besar dengan perolehan tahunan di Singapura melebihi S$10 juta, membenarkan penalti sehingga 10 peratus daripada perolehan tahunan mereka.
Hasil bersih MBS pada 2024 mencapai paras tertinggi sebanyak AS$4.2 bilion (S$5.4 bilion), menurut laporan tahunannya.
Denda S$315,000 yang dikenakan terhadap MBS mengambil kira skala kebocoran data, yang mendedahkan data peribadi lebih daripada separuh juta pelanggan tanpa izin mereka, menurut PDPC.
Badan pemantau itu menambah bahawa ia juga mengambil kira pengakuan MBS secara sukarela dan pelaksanaan langkah-langkah pemulihan segera, termasuk mengaktifkan semula langkah keselamatan bagi laman itu pada hari yang sama.
"Semua pertubuhan mesti mematuhi kewajipan PDPA, dan melindungi data peribadi pengguna adalah kunci untuk membina kepercayaan," menurut PDPC.
"PDPC akan mengambil tindakan sewajarnya terhadap pertubuhan yang didapati melanggar kewajipan mereka di bawah PDPA."
Pada Oktober 2023, data peribadi 665,495 pelanggan Marina Bay Sands "diakses secara haram dan diekstrak oleh pelaku ancaman yang tidak diketahui", menurut Suruhanjaya Perlindungan Data Peribadi (PDPC) pada Selasa (28 Okt).
Data yang bocor itu kemudian didapati dijual di laman web gelap (dark web), menurut PDPC.
MBS menyatakan pada November 2023 bahawa kebocoran itu melibatkan data ahli program ganjaran LifeStyle, termasuk nama, alamat emel, nombor telefon, negara tempat tinggal serta nombor dan peringkat keahlian.
Ia menambah siasatan menentukan bahawa pihak ketiga yang tidak diketahui mengakses data dan data keahlian dari program ganjaran kasino MBS pula tidak terjejas.
Badan pemantau itu menyatakan pada Selasa bahawa MBS mengakui melanggar Kewajipan Perlindungan di bawah Akta Perlindungan Data Peribadi (PDPA) apabila ia gagal mengambil langkah keselamatan sewajarnya semasa latihan penghijrahan perisian berskala besar pada Mac 2023.
Latihan itu melibatkan pemindahan data daripada sofwe lama ke sofwe baharu.
Ini termasuk semua aplikasi yang boleh diakses menerusi Antara Muka Pengaturcaraan Aplikasi (API) dan pengecam masing-masing, yang perlu dipindahkan sewajarnya.
Menurut makluman yang diterbitkan oleh Agensi Keselamatan Siber Singapura (CSA) pada Oktober 2022, sebuah API memudahkan komunikasi perkhidmatan antara dua atau lebih aplikasi dan melaksanakan peranan penting kerana ia memberikan fleksibiliti dengan memudahkan reka bentuk perisian, pentadbiran dan penggunaan.
Walaubagaimanapun, ia juga merupakan komponen sistem yang paling kerap terdedah dan oleh itu perlu dilindungi daripada serangan.
"Adalah penting untuk memastikan bahawa dasar-dasar keselamatan dilaksanakan semasa melakukan penghijrahan daripada sofwe lama ke baharu, termasuk hak capaian data," menurut PDPC.
"Dalam kes ini, salah satu pengecam yang menjejas halaman web Rakan Sains Seni (Art Science Friends) dikecualikan dalam penghijrahan itu. Ini membenarkan pelakon ancaman yang berniat jahat untuk mengakses dan mengeluarkan data peribadi pelanggannya."
Kebocoran data sedemikian boleh dieksploit lagi dalam skim pancingan data atau kecurian identiti, ia menambah.
Walaupun terdapat "risiko jelas" dalam latihan migrasi sedemikian, PDPC menarik perhatian bahawa MBS bergantung kepada seorang kakitangan untuk menyusun secara manual senarai konfigurasi API ke dalam sofwe baharu dan tidak melakukan semakan lapisan kedua.
Oleh demikian, MBS gagal mengesan dan membetulkan pengecualian itu selama enam bulan, menyebabkan data peribadi pelanggan tidak dilindungi.
"Kegagalan MBS untuk melaksanakan proses yang sewajarnya bagi sesuatu yang kritikal seperti dasar keselamatan adalah satu pelanggaran yang cuai terhadap Kewajipan Perlindungan," menurut PDPC.
"Sebagai sebuah perusahaan besar dengan perolehan yang ketara di Singapura, ia jelas bahawa MBS mempunyai sumber yang diperlukan untuk melindungi data peribadi para pelanggannya."
DENDA AMBIL KIRA SKALA KEBOCORAN DATA
Pada Oktober 2022, parlimen menaikkan penalti kewangan maksimum bagi pertubuhan besar dengan perolehan tahunan di Singapura melebihi S$10 juta, membenarkan penalti sehingga 10 peratus daripada perolehan tahunan mereka.
Hasil bersih MBS pada 2024 mencapai paras tertinggi sebanyak AS$4.2 bilion (S$5.4 bilion), menurut laporan tahunannya.
Denda S$315,000 yang dikenakan terhadap MBS mengambil kira skala kebocoran data, yang mendedahkan data peribadi lebih daripada separuh juta pelanggan tanpa izin mereka, menurut PDPC.
Badan pemantau itu menambah bahawa ia juga mengambil kira pengakuan MBS secara sukarela dan pelaksanaan langkah-langkah pemulihan segera, termasuk mengaktifkan semula langkah keselamatan bagi laman itu pada hari yang sama.
"Semua pertubuhan mesti mematuhi kewajipan PDPA, dan melindungi data peribadi pengguna adalah kunci untuk membina kepercayaan," menurut PDPC.
"PDPC akan mengambil tindakan sewajarnya terhadap pertubuhan yang didapati melanggar kewajipan mereka di bawah PDPA."
Sumber : CNA/HA/at
Ikuti perkembangan kami dan dapatkan Berita Terkini
Langgani buletin emel kami
Dengan mengklik hantar, saya bersetuju data peribadi saya boleh digunakan untuk menghantar artikel dari Berita, tawaran promosi dan juga untuk penyelidikan dan analisis.
