二手货交易平台Carousell外泄逾32万港用户资料 私隐专员斥犯根本性失误 - 昭传媒 UniqueMedia.hk
     

二手货交易平台Carousell外泄逾32万港用户资料 私隐专员斥犯根本性失误

网上二手货买卖平台Carousell去年进行系统迁移期间发生资料外泄,私隐专员公署完成调查,指事件导致260万名全球用户的个人资料遭到外泄,包括超过32万名香港用户的帐号资料,当中有用户姓名、个人头像、电邮地址、电话号码和出生日期等,反映Carousell在保障个人资料安全方面犯了“根本性失误”,令人失望。

调查报告指,Carousell事发时正推出一个使用者应用程式接口,向用户显示他们追踪对象的公开资料,但由于人为错误,在系统迁移过程中,不慎遗漏了一个过滤器,最终连非公开的个人资料都一并显示,Carousell集团最终在去年9月,亦即是8个月后才发现问题,并修复有关的保安漏洞。

私隐专员钟丽玲指,黑客透过一个来自缅甸的互联网地址,利用系统漏洞,窃取46个用户帐号的资料,继而追踪超过81万个其他用户的个人资料。钟丽铃指,Carousell未有在系统迁移前进行私隐影响评估和全面的安全评估,编码覆检程序不全面,虽然平台有透过监测速率监测可疑活动,但黑客撷取资料时的速率保持在限制之下,因此未有能侦测今次活动。

钟丽玲表示,事件涉及32万香港用户的资料,情况严重,指若有不法分子从“黑网”购入用户的资料,包括电邮地址及电话号码等,可能会用作违法用途,例如联络用户的亲友进行诈,或窃取用户其他帐号的资料等。她又说,今次事件反映,即使是私人帐户,资料都有机会被人撷取,提醒市民慎选社交媒体平台,尽量不要上载不必要的个人资料,并要启用双重密码认证功能,以及使用较强的密码。

钟丽玲认为,香港的Carousell Limited未有尽力保障用户的个人资料,责无旁贷,令香港用户的资料面临重大风险,违反《私隐条例》规定,已向Carousell发出执行通知,要求在两个月内,即是明年2月19日之前纠正,包括订定相关政策和程序,确保香港用户数据安全,在引入重大系统时,要进行私隐影响评估,以及漏洞扫瞄和安全评估等,亦要聘请独立资料安全专家,检视网站及应用程式,了解是否有编码错误;若公司违反通知,将构成刑事罪行。

Carousell表示,尊重私隐公署的调查结果,将会仔细公署的建议,并持续与公署保持紧密合作。Carousell又指,保护用户个人信息一直是首要任务,将持续投入大量资源加强安全设施和网络安全工作。





You may also like...