Carousell存保安漏洞 32萬用戶個資外洩 私隱公署:犯根本性失誤

2023-12-21 11:47

Carousell早前向公署通報,一個網上論壇聲稱可出售260萬Carousell用戶的個人資料,包括324,232萬個香港用戶帳號的個人資料外洩。個人資料私隱專員公署今日(21日)發表調查報告,私隱專員鍾麗玲認為,Carousell犯了根本性的失誤,實令人失望,若在系統遷移時有實施一般風險及安全評估等措施,相信有關事件可避免發生,私隱專員對事件發生表示遺憾。

鍾麗玲指,公署於去年10月26日接獲通報,Carousell稱事件源於去年1月,系統轉移過程中出現的一個保安漏洞,署方就該公司在事件發生時採取的保安措施,共進行了5次查訊。署方昨日(20日)已向Carousell發出執行通知,該公司需於2月19日或之前,向署方提交報告,以證明已按署方要求執行不同的改善措施。

Carousell:編碼錯誤

署方調查發現,Carousell集團在進行系統遷移時,推出了一個使用者應用程式介面,以顯示用戶所追蹤的所有用戶,但由於人為錯誤,過程中遺漏一個可令搜尋結果不顯示私人帳號個人資料的過濾器,導致推出介面時,顯示了額外無意被公開的個人資料,Carousell表示有關情況為編碼錯誤。

鍾麗玲特別提到,Carousell集團在去年9月為一項新功能進行標準覆檢過程中,才發現及修復這個保安漏洞,經分析後認為該介面未有被異常濫用的情況。她續稱,攻擊者在去年5月及6月,通過一個來自緬甸的互聯網服務供應商的IP地址,擷取46個Carousell用戶帳號資料,再利用這些帳戶追蹤大量其他Carousell帳戶,並獲取他們的個人資料。

經調查後,鍾麗玲認為事件是由5項缺失所致,包括Carousell在系統遷移前,無查核有否進行私隱影響評估,明顯地使本港用戶資料面臨重大風險;Carousell亦承認在完成新的程式介面後的覆檢及測試,未有包括保安問題;Carousell集團委托第三方網絡安全服務供應商,進行的滲透測試及安全評估,沒有涵蓋新介面故未能發現該保安漏洞;Carousell集團沒有制訂任何與編碼覆檢程序有關的正式書面政策;Carousell未有配置偵測警報。

鍾麗玲呼籲市民,無論是上網或使用社交媒體,都要留意保障個人資料。何健勇攝
鍾麗玲呼籲市民,無論是上網或使用社交媒體,都要留意保障個人資料。何健勇攝

1月遷移9月才發現  鍾麗玲:不理想

鍾麗玲表示,今次事件中用戶的電郵、電話及出生日期均被洩漏,且在黑網被出售,當這些資料落入不法分子手中可以做很多事,包括聯絡用戶的親友、假扮用戶等,作出種種詐騙行為,形容情況是嚴重。對於Carousell在1月進行遷移,9月才發現情況,她表示理解系統遷移是需要一段時候,但要到9月測試其他項目才發現,情況是完全不理想。

她強調,署方已向Carousell發出執行通知,要求作一系列改善措施,包括訂定香港的政策及程序,確保香港用戶的數據安全;在引入重要系統前必須進行評估;要求Carousell聘請獨立的資料安全專家,檢視系統中有否其他編碼錯誤及漏洞;兩個月內採取措施,強調如有違反將構成刑事罪行。

鍾麗玲呼籲市民,無論是上網或使用社交媒體,都要留意保障個人資料,舉例在私隱設定中,是否應該將個人資料公開、要上載的資料是否要公開、是否需要公開如此多資料等,如密碼可以啟動雙重資料認證亦應盡快啟動,不要隨便用簡單的密碼。

記者:郭詠欣

---

《星島頭條》APP經已推出最新版本,請立即更新,瀏覽更精彩內容:https://bit.ly/3yLrgYZ

關鍵字

最新回應

關鍵字

相關新聞

You are currently at: std.stheadline.com
Skip This Ads
close ad
close ad