Carousell泄32万港用户资料
2023-12-22 00:00
公署于去年10月26日接获通报,Carousell指事件源于去年1月系统转移过程中出现的一个保安漏洞,署方就该公司在事件发生时采取的保安措施,共进行了5次查讯。
事件因5项缺失所致
锺丽玲表示,事件中用户的电邮、电话及出生日期均被泄漏,且在黑网出售,资料若落入不法分子手中,可以做很多事包括联络用户亲友、假扮用户等,作出种种诈骗行为,形容情况严重。对于Carousell在1月进行迁移,9月才发现情况,她表示理解系统迁移是需要一段时候,但要到9月测试其他项目才发现,情况是完全不理想。
她强调,署方已向Carousell发出执行通知,要求做一系列措施,包括订定香港的政策及程序,确保香港用户数据安全,在引入重要系统前必须进行评估,更要求Carousell聘请独立的资料安全专家,检视系统中有否其他编码错误及漏洞,并要在两个月内采取措施,强调如有违反将构成刑事罪行。
锺丽玲呼吁市民,无论是上网或使用社交媒体,都要留意保障个人资料,举例在私隐设定中,是否应该将个人资料公开、要上载的资料是否要公开、是否需要公开如此多资料等,如密码可以启动双重资料认证亦应尽快启动,不要随便用简单的密码。
另外,公署亦调查发现医管局等4间机构不当保留或使用雇员个人资料,包括有广华医院员工投诉指,先后两次透过即时通讯软件直接向部门经理请假,并在讯息中提及个人病况,但其上司把该两则讯息转发至同一部门的群组。署方认为医管局违反了个人资料使用的规定。私隐专员已向医管局等4间机构发出和送达执行通知,指示纠正违反事项,防止同类行为再发生。
關鍵字
最新回应