Marina Bay Sands ถูกปรับ 8.5 ล้านบาท เหตุพนักงานคนเดียวทำข้อมูลลูกค้ารั่วกว่า 6.6 แสนรายสู่ Dark Web

Marina Bay Sands (MBS) แลนด์มาร์กและกาสิโนชื่อดังของสิงคโปร์ ถูกคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) สั่งปรับเป็นเงิน 315,000 ดอลลาร์สิงคโปร์ (ประมาณ 8.5 ล้านบาท) จากเหตุการณ์ข้อมูลส่วนตัวของลูกค้ากว่า 665,000 รายรั่วไหล ซึ่งเป็นผลมาจากความผิดพลาดด้านความปลอดภัยระหว่างการย้ายระบบซอฟต์แวร์ครั้งใหญ่

เหตุการณ์ข้อมูลรั่วไหลนี้เกิดขึ้นในเดือนตุลาคม 2023 โดยแฮกเกอร์ไม่ทราบฝ่ายสามารถเข้าถึงและขโมยข้อมูลส่วนบุคคลของสมาชิกโปรแกรม “LifeStyle rewards” ซึ่งประกอบด้วยข้อมูลสำคัญ เช่น ชื่อ-นามสกุล, อีเมล, หมายเลขโทรศัพท์, ประเทศที่พำนัก, หมายเลขสมาชิก และระดับของสมาชิกภาพ ต่อมายังพบว่าข้อมูลชุดดังกล่าวถูกนำไปประกาศขายบน Dark Web สร้างความเสี่ยงให้ผู้เสียหายอาจตกเป็นเหยื่อของการหลอกลวงแบบฟิชชิง (Phishing) หรือการโจรกรรมข้อมูลระบุตัวตน (Identity Theft) ต่อไปได้

ความผิดพลาดจาก “คนคนเดียว” และการขาดการตรวจสอบซ้ำ

จากการสืบสวนของ PDPC พบว่าต้นตอของช่องโหว่เกิดจากความล้มเหลวในการวางมาตรการรักษาความปลอดภัยที่รัดกุมเพียงพอในระหว่างโครงการย้ายระบบซอฟต์แวร์ขนาดใหญ่เมื่อเดือนมีนาคม 2023 โดยในกระบวนการย้ายข้อมูล API (Application Programming Interfaces) ซึ่งทำหน้าที่เป็นตัวกลางเชื่อมต่อระหว่างแอปพลิเคชันต่างๆ นั้น MBS ได้มอบหมายให้พนักงานเพียงคนเดียวรับผิดชอบการตั้งค่าคอนฟิกูเรชันของ API ไปยังซอฟต์แวร์ใหม่ด้วยตนเอง และไม่มีกระบวนการตรวจสอบซ้ำซ้อน (Second-layer checks)

ความผิดพลาดดังกล่าวส่งผลให้มีการตกหล่นการตั้งค่านโยบายความปลอดภัยของ API ที่เกี่ยวข้องกับหน้าเว็บ “Art Science Friends” ทำให้เกิดช่องโหว่ที่เปิดให้แฮกเกอร์สามารถเจาะเข้ามาขโมยข้อมูลออกไปได้ ช่องโหว่นี้ไม่ถูกตรวจพบและปล่อยทิ้งไว้นานถึง 6 เดือนก่อนจะถูกแฮกเกอร์ใช้โจมตีในที่สุด

ทาง PDPC ระบุว่าการกระทำของ MBS ถือเป็นการละเมิด “ภาระหน้าที่ในการป้องกันข้อมูล” (Protection Obligation) ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ของสิงคโปร์อย่างชัดเจน โดยชี้ว่าองค์กรขนาดใหญ่ที่มีทรัพยากรอย่าง MBS ควรมีกระบวนการที่เหมาะสมสำหรับงานที่สำคัญอย่างการตั้งค่านโยบายความปลอดภัย แต่กลับปล่อยปละละเลย

ค่าปรับที่คำนึงถึงความร่วมมือ

แม้ว่ารายได้สุทธิของ MBS ในปี 2024 จะสูงถึง 4.2 พันล้านดอลลาร์สหรัฐ และกฎหมายสิงคโปร์อนุญาตให้ปรับองค์กรได้สูงสุดถึง 10% ของรายได้ต่อปี แต่ค่าปรับจำนวน 315,000 ดอลลาร์สิงคโปร์นี้ได้พิจารณาถึงปัจจัยที่ MBS ให้ความร่วมมือโดยการยอมรับผิดโดยสมัครใจ และได้ดำเนินมาตรการแก้ไขอย่างเร่งด่วนทันทีที่ทราบเรื่อง

ที่มา