洩32萬港人個資 Carousell遭港府限時堵漏

香港示意圖。(圖：shutterstock)

個人資料私隱專員公署昨日發表兩份調查報告，其中一份關注網上交易平臺Carousell Limited因缺失，導致全球260萬名用戶、包括逾32萬名香港用戶在內的個人資料遭外泄。

大公、文匯報報導，私隱專員鍾麗玲批評Carousell犯了根本性的失誤，且事隔8個月才發現保安漏洞，違反了《私隱條例》下保障資料原則有關個人資料保安的規定，對此表示遺憾。私隱專員已向Carousell送達執行通知，指示該公司於兩個月內採取一系列措施糾正，及防止有關違規情況再次發生，否則會構成刑事罪行。

Carousell的用戶在註冊帳號時需提供電郵地址、所在地區及流動電話號碼，亦可選擇一併提供姓名、個人頭像、性別及出生日期等額外資料。鍾麗玲昨日於記者會表示，Carousell於去年10月26日向公署通報，指一個網上論壇聲稱可出售260萬名Carousell用戶的個人資料，包括32萬4232個香港用戶帳號的個人資料。

公署調查後發現，Carousell於去年1月開始系統遷移，並於同月推出一個使用者應用程式介面，作爲該系統遷移過程的一部分。該應用程式介面用以顯示某一用戶所追蹤的所有用戶，而所顯示的資訊只應包含用戶名稱、姓名和個人頭像的用戶公開資料。Carousell解釋，由於人爲錯誤，在該系統遷移過程中不慎遺漏一個應添加、以把搜尋結果中涉及私人帳號的個人資料移除的編碼過濾器，導致該應用程式介面推出時顯示了額外無意被公開的個人資料。

及至去年9月15日，Carousell爲一項新功能進行標準覆檢時才發現該保安漏洞，已即時修復，分析結果顯示該應用程式介面在1月至9月間未有被異常濫用情況。然而，Carousell於去年10月13日注意到有人於「暗網」放售260萬名Carousell用戶個人資料，並於同月21日確認有逾32萬名香港用戶同樣受影響，即時通知涉事用戶。據Carousell調查所得，黑客於去年5月及6月通過一個來自緬甸的互聯網服務供應商的IP地址擷取了46個Carousell用戶帳號的資料，並依此追蹤了大量其他用戶的帳號以獲取相關個人資料。