Carousell存保安漏洞 32万用户个资外泄 私隐公署：犯根本性失误

Carousell早前向公署通报，一个网上论坛声称可出售260万Carousell用户的个人资料，包括324,232万个香港用户帐号的个人资料外泄。个人资料私隐专员公署今日（21日）发表调查报告，私隐专员锺丽玲认为，Carousell犯了根本性的失误，实令人失望，若在系统迁移时有实施一般风险及安全评估等措施，相信有关事件可避免发生，私隐专员对事件发生表示遗憾。

锺丽玲指，公署于去年10月26日接获通报，Carousell称事件源于去年1月，系统转移过程中出现的一个保安漏洞，署方就该公司在事件发生时采取的保安措施，共进行了5次查讯。署方昨日（20日）已向Carousell发出执行通知，该公司需于2月19日或之前，向署方提交报告，以证明已按署方要求执行不同的改善措施。

Carousell：编码错误

署方调查发现，Carousell集团在进行系统迁移时，推出了一个使用者应用程式介面，以显示用户所追踪的所有用户，但由于人为错误，过程中遗漏一个可令搜寻结果不显示私人帐号个人资料的过滤器，导致推出介面时，显示了额外无意被公开的个人资料，Carousell表示有关情况为编码错误。

锺丽玲特别提到，Carousell集团在去年9月为一项新功能进行标准覆检过程中，才发现及修复这个保安漏洞，经分析后认为该介面未有被异常滥用的情况。她续称，攻击者在去年5月及6月，通过一个来自缅甸的互联网服务供应商的IP地址，撷取46个Carousell用户帐号资料，再利用这些帐户追踪大量其他Carousell帐户，并获取他们的个人资料。

经调查后，锺丽玲认为事件是由5项缺失所致，包括Carousell在系统迁移前，无查核有否进行私隐影响评估，明显地使本港用户资料面临重大风险；Carousell亦承认在完成新的程式介面后的覆检及测试，未有包括保安问题；Carousell集团委托第三方网络安全服务供应商，进行的渗透测试及安全评估，没有涵盖新介面故未能发现该保安漏洞；Carousell集团没有制订任何与编码覆检程序有关的正式书面政策；Carousell未有配置侦测警报。

锺丽玲呼吁市民，无论是上网或使用社交媒体，都要留意保障个人资料。何健勇摄

1月迁移9月才发现  锺丽玲：不理想

锺丽玲表示，今次事件中用户的电邮、电话及出生日期均被泄漏，且在黑网被出售，当这些资料落入不法分子手中可以做很多事，包括联络用户的亲友、假扮用户等，作出种种诈骗行为，形容情况是严重。对于Carousell在1月进行迁移，9月才发现情况，她表示理解系统迁移是需要一段时候，但要到9月测试其他项目才发现，情况是完全不理想。

她强调，署方已向Carousell发出执行通知，要求作一系列改善措施，包括订定香港的政策及程序，确保香港用户的数据安全；在引入重要系统前必须进行评估；要求Carousell聘请独立的资料安全专家，检视系统中有否其他编码错误及漏洞；两个月内采取措施，强调如有违反将构成刑事罪行。

锺丽玲呼吁市民，无论是上网或使用社交媒体，都要留意保障个人资料，举例在私隐设定中，是否应该将个人资料公开、要上载的资料是否要公开、是否需要公开如此多资料等，如密码可以启动双重资料认证亦应尽快启动，不要随便用简单的密码。

记者：郭咏欣

---

《星岛头条》APP经已推出最新版本，请立即更新，浏览更精彩内容：https://bit.ly/3yLrgYZ