Carousell保安超錯 洩32萬港人私隱
私隱署批犯根本性失誤 促兩個月內糾正
香港個人資料私隱專員公署昨日發表兩份調查報告,包括網上交易平台Carousell Limited因缺失而導致包括逾32萬名香港用戶在內的260萬名用戶的個人資料遭洩漏。私隱專員鍾麗玲批評Carousell犯了根本性的失誤,且事隔8個月才發現保安漏洞,令人非常失望,違反了《私隱條例》下保障資料原則有關個人資料保安的規定。私隱專員已向Carousell送達執行通知,指示該公司於兩個月內採取一系列措施以糾正其違反事項,以及防止有關違規情況再次發生,否則會構成刑事罪行。 ◆香港文匯報記者 聶曉輝
Carousell的用戶在註冊賬號時須提供電郵地址、所在地區和流動電話號碼,亦可選擇一併提供姓名、個人頭像、性別、出生日期等額外資料。
事隔8個月始發現漏洞
鍾麗玲昨日在記者會上表示,Carousell於去年10月26日向公署通報,指一個網上論壇聲稱可出售260萬名該平台用戶的個人資料,包括324,232個香港用戶賬號的個人資料。公署調查後發現,Carousell於去年1月開始進行系統遷移,並於同月推出一個使用者應用程式介面。該平台稱由於人為錯誤,在該系統遷移過程中不慎遺漏添加過濾器,導致該應用程式介面推出時顯示了額外無意被公開的個人資料。
直至同年9月15日,Carousell為一項新功能進行標準覆檢時才發現該保安漏洞,並已即時修復,分析結果顯示,該應用程式介面在1月至9月間未有被異常濫用的情況。然而,Carousell於去年10月13日注意到有人於「暗網」放售260萬名Carousell用戶的個人資料,並於同月21日確認有逾32萬名香港用戶受影響,已即時通知涉事用戶。
據Carousell調查所得,黑客於去年5月和6月通過一個來自緬甸的互聯網服務供應商的IP地址,擷取了46個Carousell用戶賬號的資料,並依此追蹤大量其他用戶的賬號以獲取相關個人資料。
無風險評估 欠缺覆檢偵測措施
鍾麗玲認為事件源於Carousell的一系列缺失導致,包括未有在系統遷移前進行私隱影響評估、不全面的編碼覆檢程序、欠缺與編碼覆檢程序相關的書面政策,以及欠缺有效的偵測措施等。
公署指出,Carousell有廣泛的國際業務和服務的龐大活躍用戶數量,公眾會合理地期望Carousell集團投入足夠資源確保其資訊系統的穩健安全,但事件揭示了Carousell在保障由其集團持有的個人資料的安全方面犯了根本性的失誤,令人非常失望。若當時有實施一般風險及安全評估和措施,相關事件應可避免發生。
保障個人資料「不作為」令人失望
鍾麗玲認為,Carousell沒有採取所有切實可行的步驟,以確保個人資料受到保障、不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反《私隱條例》。私隱專員已向Carousell送達執行通知,指示該公司於兩個月內採取一系列措施以糾正其違反事項,包括訂定政策及程序,確保香港用戶數據安全,以及當引入重大系統前要先進行私隱影響評估及安全評估,和聘請獨立資料安全專家檢視網站和程式是否涉及其他保安漏洞等。
由於Carousell集團總部位於新加坡,公署已根據與新加坡個人資料保護委員會簽訂的諒解備忘錄,向該委員會提供了是次調查報告。
鍾麗玲呼籲市民上網或使用社交媒體時,不要隨便公開提供個人資料,以及採用雙重認證功能及使用保安性較強的密碼,「最好盡量只提供基本資料,不要以為私人賬號就一定無事發生。」
