Carousell泄32万港用户资料

网上买卖平台Carousell去年进行系统迁移期间发生资料外泄，涉及260万名全球用户的个人资料，包括逾32万名香港用户的帐号资料，当中有用户姓名、个人头像、电邮地址、电话号码和出生日期等。私隐专员公署发表调查报告，指Carousell在保障个人资料安全方面，犯了「根本性错误」，令人失望，认为若在系统迁移时有实施一般风险及安全评估等措施，相信有关事件可避免发生，私隐专员对事件发生表示遗憾。

公署于去年10月26日接获通报，Carousell指事件源于去年1月系统转移过程中出现的一个保安漏洞，署方就该公司在事件发生时采取的保安措施，共进行了5次查讯。
事件因5项缺失所致

经调查后，私隐专员锺丽玲认为事件是由5项缺失所致，包括Carousell在系统迁移前，无查核有否进行私隐影响评估，明显地令到本港用户资料面临重大风险；Carousell亦承认在完成新程式介面后的覆检及测试，未有包括保安问题；Carousell委托第三方网络安全服务供应商，进行的渗透测试及安全评估，没有涵盖新介面故未能发现该保安漏洞；Carousell亦没有制订任何与编码覆检程序有关的正式书面政策；Carousell未有配置侦测警报。

锺丽玲表示，事件中用户的电邮、电话及出生日期均被泄漏，且在黑网出售，资料若落入不法分子手中，可以做很多事包括联络用户亲友、假扮用户等，作出种种诈骗行为，形容情况严重。对于Carousell在1月进行迁移，9月才发现情况，她表示理解系统迁移是需要一段时候，但要到9月测试其他项目才发现，情况是完全不理想。

她强调，署方已向Carousell发出执行通知，要求做一系列措施，包括订定香港的政策及程序，确保香港用户数据安全，在引入重要系统前必须进行评估，更要求Carousell聘请独立的资料安全专家，检视系统中有否其他编码错误及漏洞，并要在两个月内采取措施，强调如有违反将构成刑事罪行。

锺丽玲呼吁市民，无论是上网或使用社交媒体，都要留意保障个人资料，举例在私隐设定中，是否应该将个人资料公开、要上载的资料是否要公开、是否需要公开如此多资料等，如密码可以启动双重资料认证亦应尽快启动，不要随便用简单的密码。

另外，公署亦调查发现医管局等4间机构不当保留或使用雇员个人资料，包括有广华医院员工投诉指，先后两次透过即时通讯软件直接向部门经理请假，并在讯息中提及个人病况，但其上司把该两则讯息转发至同一部门的群组。署方认为医管局违反了个人资料使用的规定。私隐专员已向医管局等4间机构发出和送达执行通知，指示纠正违反事项，防止同类行为再发生。