Carousell洩32萬港用戶資料

網上買賣平台Carousell去年進行系統遷移期間發生資料外洩，涉及260萬名全球用戶的個人資料，包括逾32萬名香港用戶的帳號資料，當中有用戶姓名、個人頭像、電郵地址、電話號碼和出生日期等。私隱專員公署發表調查報告，指Carousell在保障個人資料安全方面，犯了「根本性錯誤」，令人失望，認為若在系統遷移時有實施一般風險及安全評估等措施，相信有關事件可避免發生，私隱專員對事件發生表示遺憾。

公署於去年10月26日接獲通報，Carousell指事件源於去年1月系統轉移過程中出現的一個保安漏洞，署方就該公司在事件發生時採取的保安措施，共進行了5次查訊。
事件因5項缺失所致

經調查後，私隱專員鍾麗玲認為事件是由5項缺失所致，包括Carousell在系統遷移前，無查核有否進行私隱影響評估，明顯地令到本港用戶資料面臨重大風險；Carousell亦承認在完成新程式介面後的覆檢及測試，未有包括保安問題；Carousell委託第三方網絡安全服務供應商，進行的滲透測試及安全評估，沒有涵蓋新介面故未能發現該保安漏洞；Carousell亦沒有制訂任何與編碼覆檢程序有關的正式書面政策；Carousell未有配置偵測警報。

鍾麗玲表示，事件中用戶的電郵、電話及出生日期均被洩漏，且在黑網出售，資料若落入不法分子手中，可以做很多事包括聯絡用戶親友、假扮用戶等，作出種種詐騙行為，形容情況嚴重。對於Carousell在1月進行遷移，9月才發現情況，她表示理解系統遷移是需要一段時候，但要到9月測試其他項目才發現，情況是完全不理想。

她強調，署方已向Carousell發出執行通知，要求做一系列措施，包括訂定香港的政策及程序，確保香港用戶數據安全，在引入重要系統前必須進行評估，更要求Carousell聘請獨立的資料安全專家，檢視系統中有否其他編碼錯誤及漏洞，並要在兩個月內採取措施，強調如有違反將構成刑事罪行。

鍾麗玲呼籲市民，無論是上網或使用社交媒體，都要留意保障個人資料，舉例在私隱設定中，是否應該將個人資料公開、要上載的資料是否要公開、是否需要公開如此多資料等，如密碼可以啟動雙重資料認證亦應盡快啟動，不要隨便用簡單的密碼。

另外，公署亦調查發現醫管局等4間機構不當保留或使用僱員個人資料，包括有廣華醫院員工投訴指，先後兩次透過即時通訊軟件直接向部門經理請假，並在訊息中提及個人病況，但其上司把該兩則訊息轉發至同一部門的群組。署方認為醫管局違反了個人資料使用的規定。私隱專員已向醫管局等4間機構發出和送達執行通知，指示糾正違反事項，防止同類行為再發生。