二手貨交易平台Carousell外洩逾32萬港用戶資料 私隱專員斥犯根本性失誤 - 昭傳媒 UniqueMedia.hk
     

二手貨交易平台Carousell外洩逾32萬港用戶資料 私隱專員斥犯根本性失誤

網上二手貨買賣平台Carousell去年進行系統遷移期間發生資料外洩,私隱專員公署完成調查,指事件導致260萬名全球用戶的個人資料遭到外洩,包括超過32萬名香港用戶的帳號資料,當中有用戶姓名、個人頭像、電郵地址、電話號碼和出生日期等,反映Carousell在保障個人資料安全方面犯了「根本性失誤」,令人失望。

調查報告指,Carousell事發時正推出一個使用者應用程式介面,向用戶顯示他們追蹤對象的公開資料,但由於人為錯誤,在系統遷移過程中,不慎遺漏了一個過濾器,最終連非公開的個人資料都一併顯示,Carousell集團最終在去年9月,亦即是8個月後才發現問題,並修復有關的保安漏洞。

私隱專員鍾麗玲指,黑客透過一個來自緬甸的互聯網地址,利用系統漏洞,竊取46個用戶帳號的資料,繼而追蹤超過81萬個其他用戶的個人資料。鍾麗鈴指,Carousell未有在系統遷移前進行私隱影響評估和全面的安全評估,編碼覆檢程序不全面,雖然平台有透過監測速率監測可疑活動,但黑客擷取資料時的速率保持在限制之下,因此未有能偵測今次活動。

鍾麗玲表示,事件涉及32萬香港用戶的資料,情況嚴重,指若有不法分子從「黑網」購入用戶的資料,包括電郵地址及電話號碼等,可能會用作違法用途,例如聯絡用戶的親友進行詐,或竊取用戶其他帳號的資料等。她又說,今次事件反映,即使是私人帳戶,資料都有機會被人擷取,提醒市民慎選社交媒體平台,盡量不要上載不必要的個人資料,並要啟用雙重密碼認證功能,以及使用較強的密碼。

鍾麗玲認為,香港的Carousell Limited未有盡力保障用戶的個人資料,責無旁貸,令香港用戶的資料面臨重大風險,違反《私隱條例》規定,已向Carousell發出執行通知,要求在兩個月內,即是明年2月19日之前糾正,包括訂定相關政策和程序,確保香港用戶數據安全,在引入重大系統時,要進行私隱影響評估,以及漏洞掃瞄和安全評估等,亦要聘請獨立資料安全專家,檢視網站及應用程式,了解是否有編碼錯誤;若公司違反通知,將構成刑事罪行。

Carousell表示,尊重私隱公署的調查結果,將會仔細公署的建議,並持續與公署保持緊密合作。Carousell又指,保護用戶個人信息一直是首要任務,將持續投入大量資源加強安全設施和網絡安全工作。





You may also like...