二手貨交易平台Carousell外洩逾32萬港用戶資料　私隱專員斥犯根本性失誤

網上二手貨買賣平台Carousell去年進行系統遷移期間發生資料外洩，私隱專員公署完成調查，指事件導致260萬名全球用戶的個人資料遭到外洩，包括超過32萬名香港用戶的帳號資料，當中有用戶姓名、個人頭像、電郵地址、電話號碼和出生日期等，反映Carousell在保障個人資料安全方面犯了「根本性失誤」，令人失望。

調查報告指，Carousell事發時正推出一個使用者應用程式介面，向用戶顯示他們追蹤對象的公開資料，但由於人為錯誤，在系統遷移過程中，不慎遺漏了一個過濾器，最終連非公開的個人資料都一併顯示，Carousell集團最終在去年9月，亦即是8個月後才發現問題，並修復有關的保安漏洞。

私隱專員鍾麗玲指，黑客透過一個來自緬甸的互聯網地址，利用系統漏洞，竊取46個用戶帳號的資料，繼而追蹤超過81萬個其他用戶的個人資料。鍾麗鈴指，Carousell未有在系統遷移前進行私隱影響評估和全面的安全評估，編碼覆檢程序不全面，雖然平台有透過監測速率監測可疑活動，但黑客擷取資料時的速率保持在限制之下，因此未有能偵測今次活動。

鍾麗玲表示，事件涉及32萬香港用戶的資料，情況嚴重，指若有不法分子從「黑網」購入用戶的資料，包括電郵地址及電話號碼等，可能會用作違法用途，例如聯絡用戶的親友進行詐，或竊取用戶其他帳號的資料等。她又說，今次事件反映，即使是私人帳戶，資料都有機會被人擷取，提醒市民慎選社交媒體平台，盡量不要上載不必要的個人資料，並要啟用雙重密碼認證功能，以及使用較強的密碼。

鍾麗玲認為，香港的Carousell Limited未有盡力保障用戶的個人資料，責無旁貸，令香港用戶的資料面臨重大風險，違反《私隱條例》規定，已向Carousell發出執行通知，要求在兩個月內，即是明年2月19日之前糾正，包括訂定相關政策和程序，確保香港用戶數據安全，在引入重大系統時，要進行私隱影響評估，以及漏洞掃瞄和安全評估等，亦要聘請獨立資料安全專家，檢視網站及應用程式，了解是否有編碼錯誤；若公司違反通知，將構成刑事罪行。

Carousell表示，尊重私隱公署的調查結果，將會仔細公署的建議，並持續與公署保持緊密合作。Carousell又指，保護用戶個人信息一直是首要任務，將持續投入大量資源加強安全設施和網絡安全工作。