【獨媒報導】私隱專員公署今發表調查報告,指網上買賣平台 Carousell 去年1月進行系統遷移出現資料外洩事故,當中牽涉260萬名用戶資料,包括32萬個香港帳戶資料,涉及用戶姓名、個人頭像、電郵地址、出生日期及流動電話號碼等,事隔8個月後才修復。個人私隱資料專員鍾麗玲形容事件嚴重:「揭示咗 Carousell 喺保障集團持有個人資料安全方面,係犯咗基本性失誤,實在令人非常失望。」
現時 Carousell 用戶註冊時需要提供電郵地址、所在地區及流動電話號碼,並可額外提供姓名、個人頭像、性別及出生日期。當中在公開版面只會顯示姓名、個人頭像及所在地區,私人帳戶才會進一步顯示電郵地址、電話、性別及出生日期等個人資料,平台亦允許用戶互相追蹤。
去年已發現黑網銷售260萬人資料
私隱專員公署今早公佈兩項調查報告,個人私隱資料專員鍾麗玲表示,Carousell 的新加坡公司在2022年10月於一個網上論壇發現「暗網」的銷售訊息,聲稱可出售260萬名 Carousell 用戶的個人資料。在約一星期後,該公司發現260萬名用戶中包括32萬個香港帳戶資料,涉及用戶姓名、個人頭像、電郵地址、出生日期及流動電話號碼等資料。
Carousell 在香港的公司 Carousell Limited 於得悉事件後已主動向公署作出私隱資料外洩事故通報,指事故源於2022年1月進行系統遷移時出現保安漏洞。鍾麗玲形容事件嚴重,有可能涉及違反私人條例的規定,遂展開調查。
去年1月系統遷移時漏裝過濾器
私隱專員公署一共作出5次查詢,調查發現香港公司 Carousell Limited 在事發時使用集團中央化模式下的資訊系統及資料庫,而公司亦確認負責32萬香港用戶的資料收集、持有、處理及使用,認為公司符合條例下的「資料使用者」定義,有責任保障香港用戶的資料安全。
公署發現,Carousell 集團2022年1月已開始進行系統遷移,涉及超過200個應用程式介面(api),在整個遷移過程中,Carousell 亦推出一個應用程式介面,用作顯示某用戶追蹤其他用戶的公開資料。公署稱,由於人為錯誤,Carousell 在過程中不小心遺漏加裝過濾器,令整個程式顯示追蹤其他用戶時,會一概顯示公開版面及私人帳戶的資料,形容是「嚴重失誤」。
黑客擷取46用戶再大量追蹤其他人
公署指,Carousell 集團於2022年9月中為覆檢新功能時已發現漏洞,並隨即作出修復,以及檢視是否有人異常濫用個人資料,當時分析是沒有人被人濫用,直至10月才發現資料在「暗網」上出售。鍾麗玲解釋,黑客於2022年5及6月通過一個來自緬甸的互聯網地址擷取46個 Carousell 用戶資料,再追蹤大量其他用戶的個人資料,從而得到其他帳戶的公開版面及私人帳戶資料。公署稱其中一個帳戶就追蹤了至少81萬用戶,「換句話講,呢個黑客攞咗呢個帳戶資料,就可以攞到超過81萬用戶資料。」
個人私隱資料專員 鍾麗玲(中)
批香港公司「諗住瞇埋眼就做」
鍾麗玲表明,Carousell 有五大缺失導致資料外洩,包括未有在進行系統遷移前進行私隱影響評估、編碼覆檢程序不全面、欠缺相關書面政策、安全評估不包括應用程式介面,以及欠缺有效偵測措施。她又認為香港公司都有明顯缺失,違反保障資料第4原則,訂明要求資料使用者採取一切切實可行的步驟,保障個人資料不會未經授權或意外地被查閲、處理、刪除、喪失或使用,「即係諗住個集團既然有咁嘅系統遷移,咁我就咁瞇埋眼就可以做啦,其中有缺失嘅話係冇去查證。」
她要求香港公司制訂政策及聘請獨立數據安全專家,檢視網站及應用程用的保安漏洞,限兩個月內提交文件證明,並將調查報告提交至 Carousell 總公司所在地的新加坡個人資料保護委員會跟進。
被問到洩漏的個人資有否用作其他用途,鍾麗玲指亦用作「暗網」銷售外,並不排除有不法分子用作詐騙用途。她強調私人帳戶的資料亦並非百分百安全,呼籲市民只提供最基本的資料,或選用提供較少資料的平台。《獨媒》問及 Carousell 是否過度收集個人資料,以及有否通知香港的用戶,鍾麗玲稱 Carousell Limited 已第一時間通知用戶,而是否過度收集個人資料就不是今次調查方向,只初步認為沒有過度收集。