【旋轉拍賣】Carousell洩32.4萬香港用戶資料　私隱專員斥情況嚴重

Carousell去年發生資料外洩事故，涉及32.4萬香港用戶。私隱專員公署完成調查後，認為Carousell有缺失，需要負責，已向其送達執行通知，要求兩個月內，即2月19日前，聘請獨立數據安全專家檢視網站及流動應用程式、制定本地政策及程序，以保障香港用戶的數據安全，如在系統或程式發生重大改變或引入新科技時，進行私隱影響評估、漏洞掃描和安全評估程序等。

旋轉拍賣Carousell集團，去年10月於一個網上論壇發現一則銷售訊息，聲稱可供出售260萬名Carousell用戶的個人資料，並在21日發現有逾32.4萬香港用戶的帳戶受到影響，除用戶公開版面的資料外，還外洩用戶的電郵地址、電話號碼及出生日期。

Carousell 10月26日向公署通報資料外洩，當時指事故是源於去年1月系統遷移過程中出現的保安漏洞。不過公署調查後發現，Carousell集團去年1月開始系統轉移時，推出一個使用者應用程式介面，該介面用以顯示某一用戶所追蹤的用戶，而所顯示的資訊只應包括用戶名稱、姓名及頭像等公開資料。

不過集團在系統轉移過程中，不慎遺留一個過濾器，該過濾器原本可令搜尋結果不會包含私人帳號的個人資料，遺留便導致上述應用程式介面推出時額外顯示原無意被公開的個人資料，且Carousell集團甚至在去年9月15日為一項新功能進行標準覆檢時才發現問題及修復保安漏洞。

Carousell遭網絡攻擊

而攻擊者就在去年5月及6月通過一個來自緬甸的互聯網服務供應商的IP地址擷取46個Carousell用戶帳號資料，並利用該46帳戶追蹤大量其他帳戶獲取他們的個人資料，其中一個帳戶便已追蹤逾80萬用戶。

私隱專員鍾麗玲認為，事故源於Carousell集團的缺失，包括未有在系統遷移前進行私隱影響評估；不全面的編碼覆檢程序；與系統遷移有關的安全評估有缺失；欠缺與編碼覆檢程序相關的書面政策；及欠缺有效的偵測措施。雖然 Carousell在事發時是使用由該集團中央化模式下的資訊系統及資料庫，但Carousell作為資料使用者仍有確切責任保障由其控制的個人資料的安全，認為其也須就沒有核查以及確保系統轉移前有否妥善檢查、政策及措施等負責。

鍾麗玲形容，此資料外洩事件揭示Carousell在保障由其集團持有的個人資料的安全方面犯了根本性的失誤，實令人非常失望，認為若當時有實施一般風險及安全評估及措施，相關事件應可避免發生。

鍾麗玲又形容，洩漏32萬用戶個人資料的情況嚴重，尤其電郵或電話若落不法分子手中，或被作違法用途，如假扮用戶詐騙等，或盜取用戶其他賬戶資料；又指Carousell事隔8個月才發現保安漏統，甚至不知有黑客入侵並不理想，同時事故也反映，只要該公司有程式上的錯誤，即使是私人賬戶，資料也可以被黑客擷取，呼籲市民使用網上平台時只提供基本資料，且應選用不必提供太多資歷的網購程式。

公署建議Carousell，進行私隱影響評估，特別是當系統或應用程式出現重大改變及引人新科技時進行有關評估；制訂確保數據安全的遷移計劃；進行有效的漏洞評估；提供相關的員工培訓；制訂地區性政策及程序，確保遵從《私隱條例》的規定等。

此外，由於Carousell集團的總部位於新加坡，私隱專員公署已根據與新加坡個人資料保護委員會簽訂的諒解備忘錄，向新加坡個人資料保護委員會提供了是次調查的報告。

Carousell：尊重判決將仔細評估建議

Carousell表示，尊重香港個人資料私隱專員公署的書面判決，該判決亦指出Carousell採取了快速的糾 正措施。Carousell將會仔細評估香港個人資料私隱專員公署所提出的建議，並持續與隱私署保持緊密合作。Carousell指出，保護用戶的個人信息一直是該公司首要任務，為了確保Carousell維持健全且有效的安全體系，將持續投入大量資源來強化安全設施和網絡安全工作。                    

HKETAPP健康台更多都市疾病影片：https://bit.ly/3cNFwr7

hketApp已全面升級，TOPick為大家推出一系列親子、健康、娛樂、港聞及休閒生活資訊及Video。立即下載：https://bit.ly/34FTtW9

記者：黃小冰