二手货交易平台Carousell外泄逾32万港用户资料　私隐专员斥犯根本性失误

网上二手货买卖平台Carousell去年进行系统迁移期间发生资料外泄，私隐专员公署完成调查，指事件导致260万名全球用户的个人资料遭到外泄，包括超过32万名香港用户的帐号资料，当中有用户姓名、个人头像、电邮地址、电话号码和出生日期等，反映Carousell在保障个人资料安全方面犯了“根本性失误”，令人失望。

调查报告指，Carousell事发时正推出一个使用者应用程式接口，向用户显示他们追踪对象的公开资料，但由于人为错误，在系统迁移过程中，不慎遗漏了一个过滤器，最终连非公开的个人资料都一并显示，Carousell集团最终在去年9月，亦即是8个月后才发现问题，并修复有关的保安漏洞。

私隐专员钟丽玲指，黑客透过一个来自缅甸的互联网地址，利用系统漏洞，窃取46个用户帐号的资料，继而追踪超过81万个其他用户的个人资料。钟丽铃指，Carousell未有在系统迁移前进行私隐影响评估和全面的安全评估，编码覆检程序不全面，虽然平台有透过监测速率监测可疑活动，但黑客撷取资料时的速率保持在限制之下，因此未有能侦测今次活动。

钟丽玲表示，事件涉及32万香港用户的资料，情况严重，指若有不法分子从“黑网”购入用户的资料，包括电邮地址及电话号码等，可能会用作违法用途，例如联络用户的亲友进行诈，或窃取用户其他帐号的资料等。她又说，今次事件反映，即使是私人帐户，资料都有机会被人撷取，提醒市民慎选社交媒体平台，尽量不要上载不必要的个人资料，并要启用双重密码认证功能，以及使用较强的密码。

钟丽玲认为，香港的Carousell Limited未有尽力保障用户的个人资料，责无旁贷，令香港用户的资料面临重大风险，违反《私隐条例》规定，已向Carousell发出执行通知，要求在两个月内，即是明年2月19日之前纠正，包括订定相关政策和程序，确保香港用户数据安全，在引入重大系统时，要进行私隐影响评估，以及漏洞扫瞄和安全评估等，亦要聘请独立资料安全专家，检视网站及应用程式，了解是否有编码错误；若公司违反通知，将构成刑事罪行。

Carousell表示，尊重私隐公署的调查结果，将会仔细公署的建议，并持续与公署保持紧密合作。Carousell又指，保护用户个人信息一直是首要任务，将持续投入大量资源加强安全设施和网络安全工作。