Carousell洩港人個資 限時堵漏
新程式忘加編碼過濾器 32萬用戶私隱任睇
個人資料私隱專員公署昨日發表兩份調查報告,其中一份關注網上交易平台Carousell Limited因缺失,導致全球260萬名用戶、包括逾32萬名香港用戶在內的個人資料遭外洩。私隱專員鍾麗玲批評Carousell犯了根本性的失誤,且事隔8個月才發現保安漏洞,令人非常失望,違反了《私隱條例》下保障資料原則有關個人資料保安的規定,對此表示遺憾。私隱專員已向Carousell送達執行通知,指示該公司於兩個月內採取一系列措施糾正,及防止有關違規情況再次發生,否則會構成刑事罪行。
Carousell的用戶在註冊賬號時需提供電郵地址、所在地區及流動電話號碼,亦可選擇一併提供姓名、個人頭像、性別及出生日期等額外資料。鍾麗玲昨日於記者會表示,Carousell於去年10月26日向公署通報,指一個網上論壇聲稱可出售260萬名Carousell用戶的個人資料,包括324,232個香港用戶賬號的個人資料。
黑客「暗網」放售用戶個資
公署調查後發現,Carousell於去年1月開始系統遷移,並於同月推出一個使用者應用程式介面,作為該系統遷移過程的一部分。該應用程式介面用以顯示某一用戶所追蹤的所有用戶,而所顯示的資訊只應包含用戶名稱、姓名和個人頭像的用戶公開資料。Carousell解釋,由於人為錯誤,在該系統遷移過程中不慎遺漏一個應添加、以把搜尋結果中涉及私人賬號的個人資料移除的編碼過濾器,導致該應用程式介面推出時顯示了額外無意被公開的個人資料。
及至去年9月15日,Carousell為一項新功能進行標準覆檢時才發現該保安漏洞,已即時修復,分析結果顯示該應用程式介面在1月至9月間未有被異常濫用情況。然而,Carousell於去年10月13日注意到有人於「暗網」放售260萬名Carousell用戶個人資料,並於同月21日確認有逾32萬名香港用戶同樣受影響,即時通知涉事用戶。據Carousell調查所得,黑客於去年5月及6月通過一個來自緬甸的互聯網服務供應商的IP地址擷取了46個Carousell用戶賬號的資料,並依此追蹤了大量其他用戶的賬號以獲取相關個人資料。
鍾麗玲認為事件源於Carousell的一系列缺失導致,包括未有在系統遷移前進行私隱影響評估、不全面的編碼覆檢程序、欠缺與編碼覆檢程序相關的書面政策、以及欠缺有效的偵測措施等。公署指出,Carousell有廣泛國際業務及服務龐大活躍用戶數量,但沒有採取所有切實可行的步驟,確保涉事的個人資料受到保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反了《私隱條例》。由於Carousell集團總部位於新加坡,公署向新加坡個人資料保護委員會提供了是次調查報告。
