無論出售定購買二手物品,相信好多人都有用過 Carousell,但私隱專員公署於昨日 (21/12) 發表兩份調查報告。其中一份報告關於 Carousell 用戶的個人資料遭未獲准許的擷取,導致 260 萬名 Carousell 全球用戶的個人資料,當中包括超過 32 萬名香港用戶的電郵地址、電話及出生日期等資料。私隱公署指 Carousell 犯下多項缺失,在保障個人資料安全方面犯下根本性錯誤。
Carousell Limnited 早前向公署通報資料外洩事故,指一個網上論壇聲稱可出售 260 萬名Carousell 用戶的個人資料,包括 32.4 萬個香港用戶帳號的個人資料外洩。Carousell Limited 表示該資料外洩事故,是源於 2022 年 1 月系統遷移過程中出現的保安漏洞。但公司在同年 9 月才發現問題並向公署通報事故。
公署發表調查報告指出 Carousell 在啟動遷移系統前未有進行私隱影響評估、編碼覆檢程序亦做得不全面、與系統遷移有關的安全評估有缺失、欠缺與編碼覆檢程序相關的書面政策,而且欠缺有效的偵測措施。公司亦沒有採取有效措施來偵測異常活動,導致未能防止或偵測用戶的個人資料。
公署裁定 Carousell 違反保障資料原則有關個人資料保安的規定,並通知 Carousell 要求在明年 2 月 19 日或之前採取一系列措施,包括訂定政策及程序,以確保香港用戶數據安全。當引入重大系統前,要先進行私隱影響評估及安全評估,並要求聘請獨立資料安全專家檢視網站及程式是否涉及其他保安漏洞。如果未能在限期前糾正,會構成刑事罪行。
有專家提醒市民,在使用互聯網或社交媒體時,不要隨便提供個人資料,並且要留意網頁的私隱設定。而今次個案亦反映私人帳戶的資料亦可以被黑客擷取,沒有絕對的安全,提醒私人帳戶也應只提供最基本資料。