【保安漏洞】Carousell洩逾32萬香港用戶資料　私隱署批評：嚴重失誤

網上拍賣平台 Carousell 去年 9 月發現用戶個人資料外洩，牽涉全球 260 萬用戶，包括逾 32 萬香港用戶的電郵地址、電話及出生日期。私隱專員公署就事件發表調查報告，指今次事故屬嚴重失誤，對事件感到失望及遺憾。

調查報告指，Carousell 去年 1 月在系統遷移過程中出現人為錯誤，不慎漏放過濾器，以致用戶部分本應不會顯示的個人資料被公開，形成保安漏洞。有黑客在同年 5 月及 6 月時，透過一個來自緬甸的互聯網服務供應商的 IP 位址，擷取了 46 個 Carousell 用戶帳號的資料，並利用這批帳戶，以追蹤大量其他帳戶，獲取更多個人資料，其中一個帳戶更追蹤了超過 81 萬個帳戶。

然而，Carousell 在同年 9 月才發現問題，隨即修復有關的保安漏洞並向公署通報，而網上亦有論壇聲稱出售 260 萬名 Carousell 用戶的個人資料。

公署指出，Carousell 犯下多項缺失，包括在啟動遷移系統前，未核查有否進行私隱影響評估；沒有查核應用程式介面在推出前，是否已進行全面的編碼覆檢程序等，認為該集團需對此負責，並指 Carousell 在保障個人資料安全方面犯了根本性錯誤，令人非常失望。

公署在本周三已向 Carousell 送達執行通知，要求實施一系列風險及安全評估及措施，糾正其違反事項，並需向明年 2 月 19 日前向公署提交文件。