Carousell存保安漏洞 32萬用戶個資外洩 私隱公署：犯根本性失誤

Carousell早前向公署通報，一個網上論壇聲稱可出售260萬Carousell用戶的個人資料，包括324,232萬個香港用戶帳號的個人資料外洩。個人資料私隱專員公署今日（21日）發表調查報告，私隱專員鍾麗玲認為，Carousell犯了根本性的失誤，實令人失望，若在系統遷移時有實施一般風險及安全評估等措施，相信有關事件可避免發生，私隱專員對事件發生表示遺憾。

鍾麗玲指，公署於去年10月26日接獲通報，Carousell稱事件源於去年1月，系統轉移過程中出現的一個保安漏洞，署方就該公司在事件發生時採取的保安措施，共進行了5次查訊。署方昨日（20日）已向Carousell發出執行通知，該公司需於2月19日或之前，向署方提交報告，以證明已按署方要求執行不同的改善措施。

Carousell：編碼錯誤

署方調查發現，Carousell集團在進行系統遷移時，推出了一個使用者應用程式介面，以顯示用戶所追蹤的所有用戶，但由於人為錯誤，過程中遺漏一個可令搜尋結果不顯示私人帳號個人資料的過濾器，導致推出介面時，顯示了額外無意被公開的個人資料，Carousell表示有關情況為編碼錯誤。

鍾麗玲特別提到，Carousell集團在去年9月為一項新功能進行標準覆檢過程中，才發現及修復這個保安漏洞，經分析後認為該介面未有被異常濫用的情況。她續稱，攻擊者在去年5月及6月，通過一個來自緬甸的互聯網服務供應商的IP地址，擷取46個Carousell用戶帳號資料，再利用這些帳戶追蹤大量其他Carousell帳戶，並獲取他們的個人資料。

經調查後，鍾麗玲認為事件是由5項缺失所致，包括Carousell在系統遷移前，無查核有否進行私隱影響評估，明顯地使本港用戶資料面臨重大風險；Carousell亦承認在完成新的程式介面後的覆檢及測試，未有包括保安問題；Carousell集團委托第三方網絡安全服務供應商，進行的滲透測試及安全評估，沒有涵蓋新介面故未能發現該保安漏洞；Carousell集團沒有制訂任何與編碼覆檢程序有關的正式書面政策；Carousell未有配置偵測警報。

鍾麗玲呼籲市民，無論是上網或使用社交媒體，都要留意保障個人資料。何健勇攝

1月遷移9月才發現  鍾麗玲：不理想

鍾麗玲表示，今次事件中用戶的電郵、電話及出生日期均被洩漏，且在黑網被出售，當這些資料落入不法分子手中可以做很多事，包括聯絡用戶的親友、假扮用戶等，作出種種詐騙行為，形容情況是嚴重。對於Carousell在1月進行遷移，9月才發現情況，她表示理解系統遷移是需要一段時候，但要到9月測試其他項目才發現，情況是完全不理想。

她強調，署方已向Carousell發出執行通知，要求作一系列改善措施，包括訂定香港的政策及程序，確保香港用戶的數據安全；在引入重要系統前必須進行評估；要求Carousell聘請獨立的資料安全專家，檢視系統中有否其他編碼錯誤及漏洞；兩個月內採取措施，強調如有違反將構成刑事罪行。

鍾麗玲呼籲市民，無論是上網或使用社交媒體，都要留意保障個人資料，舉例在私隱設定中，是否應該將個人資料公開、要上載的資料是否要公開、是否需要公開如此多資料等，如密碼可以啟動雙重資料認證亦應盡快啟動，不要隨便用簡單的密碼。

記者：郭詠欣

---

《星島頭條》APP經已推出最新版本，請立即更新，瀏覽更精彩內容：https://bit.ly/3yLrgYZ