Carousell泄32万港用户资料

2023-12-22 00:00

锺丽玲呼吁市民无论是上网或使用社交媒体,都要留意保障个人私隐。
锺丽玲呼吁市民无论是上网或使用社交媒体,都要留意保障个人私隐。

网上买卖平台Carousell去年进行系统迁移期间发生资料外泄,涉及260万名全球用户的个人资料,包括逾32万名香港用户的帐号资料,当中有用户姓名、个人头像、电邮地址、电话号码和出生日期等。私隐专员公署发表调查报告,指Carousell在保障个人资料安全方面,犯了「根本性错误」,令人失望,认为若在系统迁移时有实施一般风险及安全评估等措施,相信有关事件可避免发生,私隐专员对事件发生表示遗憾。

公署于去年10月26日接获通报,Carousell指事件源于去年1月系统转移过程中出现的一个保安漏洞,署方就该公司在事件发生时采取的保安措施,共进行了5次查讯。
事件因5项缺失所致

经调查后,私隐专员锺丽玲认为事件是由5项缺失所致,包括Carousell在系统迁移前,无查核有否进行私隐影响评估,明显地令到本港用户资料面临重大风险;Carousell亦承认在完成新程式介面后的覆检及测试,未有包括保安问题;Carousell委托第三方网络安全服务供应商,进行的渗透测试及安全评估,没有涵盖新介面故未能发现该保安漏洞;Carousell亦没有制订任何与编码覆检程序有关的正式书面政策;Carousell未有配置侦测警报。

锺丽玲表示,事件中用户的电邮、电话及出生日期均被泄漏,且在黑网出售,资料若落入不法分子手中,可以做很多事包括联络用户亲友、假扮用户等,作出种种诈骗行为,形容情况严重。对于Carousell在1月进行迁移,9月才发现情况,她表示理解系统迁移是需要一段时候,但要到9月测试其他项目才发现,情况是完全不理想。

她强调,署方已向Carousell发出执行通知,要求做一系列措施,包括订定香港的政策及程序,确保香港用户数据安全,在引入重要系统前必须进行评估,更要求Carousell聘请独立的资料安全专家,检视系统中有否其他编码错误及漏洞,并要在两个月内采取措施,强调如有违反将构成刑事罪行。

锺丽玲呼吁市民,无论是上网或使用社交媒体,都要留意保障个人资料,举例在私隐设定中,是否应该将个人资料公开、要上载的资料是否要公开、是否需要公开如此多资料等,如密码可以启动双重资料认证亦应尽快启动,不要随便用简单的密码。

另外,公署亦调查发现医管局等4间机构不当保留或使用雇员个人资料,包括有广华医院员工投诉指,先后两次透过即时通讯软件直接向部门经理请假,并在讯息中提及个人病况,但其上司把该两则讯息转发至同一部门的群组。署方认为医管局违反了个人资料使用的规定。私隐专员已向医管局等4间机构发出和送达执行通知,指示纠正违反事项,防止同类行为再发生。

關鍵字

最新回应

相關新聞

You are currently at: std.stheadline.com
Skip This Ads
close ad
close ad