個人資料私隱專員公署近日發佈兩份調查報告,重點之一為網上拍賣平台Carousell出現的保安漏洞。此漏洞導致約 260 萬名全球用戶的個人資料遭外洩,其中包括 32 萬名香港用戶。泄漏的資料主要包括電郵地址、電話號碼及出生日期等。
32 萬名香港用戶資料外洩
對於 32 萬名香港用戶資料遭外洩,個人資料私隱專員公署對該事件表示失望及遺憾,認為該事故原本可避免。漏洞源於去年 1 月的系統遷移過程,但 Carousell 直至同年 9 月才發現問題並通報公署。有網上論壇聲稱可以出售受影響的用戶個人資料。
違反資料保護規定
公署指出,Carousell在啟動遷移系統前未進行必要的私隱影響評估和安全評估。該公司亦未對新推出的應用程式介面進行全面的編碼覆檢。因此,Carousell 被裁定違反個人資料保安的規定。
要求採取改善措施
公署已向 Carousell 送達執行通知,要求其在明年2月19日前採取一系列改善措施。這包括制定政策和程序以確保香港用戶的數據安全,並在引入重大系統更改前進行評估。Carousell 亦需聘請獨立的資料安全專家以檢視潛在的保安漏洞。
私隱專員的警告
私隱專員鍾麗玲指出,Carousell擁有廣泛的國際業務和活躍用戶,公眾對其有合理的安全期望。她強調,公司延遲發現保安漏洞的行為不理想,可能導致嚴重後果。個人資料一旦在黑網被披露,可能導致各種詐騙行為。
市民應提高警覺
鍾麗玲提醒市民,在互聯網或社交媒體上謹慎提供個人資料,並留意網頁的私隱設定。她提醒,即使是私人帳戶的資料,也可能被黑客擷取,因此應只提供最基本的個人信息。
