无论出售定购买二手物品,相信好多人都有用过 Carousell,但私隐专员公署于昨日 (21/12) 发表两份调查报告。其中一份报告关于 Carousell 用户的个人资料遭未获准许的撷取,导致 260 万名 Carousell 全球用户的个人资料,当中包括超过 32 万名香港用户的电邮地址、电话及出生日期等资料。私隐公署指 Carousell 犯下多项缺失,在保障个人资料安全方面犯下根本性错误。
Carousell Limnited 早前向公署通报资料外泄事故,指一个网上论坛声称可出售 260 万名Carousell 用户的个人资料,包括 32.4 万个香港用户帐号的个人资料外泄。Carousell Limited 表示该资料外泄事故,是源于 2022 年 1 月系统迁移过程中出现的保安漏洞。但公司在同年 9 月才发现问题并向公署通报事故。
公署发表调查报告指出 Carousell 在启动迁移系统前未有进行私隐影响评估、编码覆检程序亦做得不全面、与系统迁移有关的安全评估有缺失、欠缺与编码覆检程序相关的书面政策,而且欠缺有效的侦测措施。公司亦没有采取有效措施来侦测异常活动,导致未能防止或侦测用户的个人资料。
公署裁定 Carousell 违反保障资料原则有关个人资料保安的规定,并通知 Carousell 要求在明年 2 月 19 日或之前采取一系列措施,包括订定政策及程序,以确保香港用户数据安全。当引入重大系统前,要先进行私隐影响评估及安全评估,并要求聘请独立资料安全专家检视网站及程式是否涉及其他保安漏洞。如果未能在限期前纠正,会构成刑事罪行。
有专家提醒市民,在使用互联网或社交媒体时,不要随便提供个人资料,并且要留意网页的私隐设定。而今次个案亦反映私人帐户的资料亦可以被黑客撷取,没有绝对的安全,提醒私人帐户也应只提供最基本资料。