Carousell泄32萬港客資料 未全通知客戶 私隱署:犯根本性的失誤 限兩月內糾正
【明報專訊】網上分類買賣平台Carousell(旋轉拍賣)去年10月發現資料外泄,260萬名用戶的個人資料被放在暗網出售,其中32.4萬個香港帳號受影響,外泄資料包括電郵、電話號碼和出生日期;當時公眾對事件所知不多,有受影響用戶曾收到該公司通知,但亦有用戶稱從未接獲通知。事隔逾年,本港私隱專員公署昨日公布調查報告,認為Carousell在保障個人資料安全「犯了根本性的失誤,實令人非常失望」,限兩個月內糾正。立法會選委界別議員江玉歡認為,機構應以減低風險為原則通知所有用戶。
去年發現260萬戶資料被放上網出售
Carousell集團於2012年在新加坡成立,其網頁稱每月活躍用戶達數千萬個。據私隱公署昨發布的調查報告,事件於一年多前揭發,Carousell在去年10月13日發現有人在暗網放售其用戶的個人資料,集團當時初步調查認為,事件只影響新加坡用戶;同月21日才確認香港用戶受影響,5天後向私隱公署通報。
有Carousell用戶向本報表示,在Carousell確認香港用戶受影響後3日、即去年10月24日收到該公司電郵通知,其註冊電郵及手機號碼「受到影響」。不過,有至少兩名用戶表示從未收過該公司電郵,未知受影響否,亦是在昨日私隱公署公布報告,始知Carousell發生用戶資料外泄事件。
漏加過濾器後知後覺 「雙重人為錯誤」
調查報告指該公司於去年1月中推出一個使用者應用程式界面(API),由於人為錯誤,在系統遷移過程中遺漏添加編碼過濾器,導致額外的個人資料被顯示。Carousell事隔8個月、即9月中才發現該保安漏洞,當時分析認為相關應用程式界面無被異常濫用。該公司通報私隱公署後,委任獨立資訊科技顧問公司調查,始確認同年5月及6月有來自緬甸IP的網絡攻擊者擷取46個帳號資料,並用以追蹤大量其他帳號,獲取更多個人資料。
公署調查後認為,Carousell違反《私隱條例》保障資料第4原則,即資料使用者須採取所有切實可行步驟,確保持有的個人資料不受未獲准許或意外查閱等影響。公署批評今次事故涉「雙重的人為錯誤」,負責系統遷移的高級工程師遺漏添加過濾器,其後的編碼覆檢程序,未就保安問題作覆檢,令漏洞沒及早發現。公署批評,該公司作大規模系統遷移時沒做私隱影響評估。
議員促檢討強制舉報通知責任立法
私隱專員鍾麗玲昨形容事故嚴重,指不法分子或利用所得資料,假扮用戶接近其親友詐騙。她提醒市民,在帳戶設為不公開的資料,不一定百分百安全,呼籲不要提供不必要資料。鍾稱本周三已向Carousell在港公司發出執行通知,限明年2月19日內糾正;Carousell的總部在新加坡,公署另將是次調查報告提供予當地個人資料保護委員會。
對於事件中並非所有用戶都收到通知,議員江玉歡認為,由於短時間內往往未能確認外泄事件影響有多大,涉事公司應以減低風險為原則,以最有效方法通知所有用戶。她指本港未就強制舉報資料外泄和通知責任立法,極不理想,促政府考慮檢討。
■明報報料熱線﹕inews@mingpao.com / 9181 4676