網上買賣平台Carousell去年通報出現資料外洩,在進行系統遷移期間,約260萬用戶資料外洩,當中包括逾32萬為本港用戶帳號。私隱專員公署今日(21日)公佈調查報告,批評Carousell平台在保障個人資料安全方面犯「根本性失誤」,令人失望。
調查報告顯示,平台於去年年初起進行系統遷移,其間推出使用者應用程式介面,以向用戶顯示其追蹤對象的公開資料。過程中,由於出現人為錯誤,令一個過濾器不慎遺漏,最終導致用戶無意被公開的個人資料被顯示。惟至8個月後,即同年9月,平台才發現出錯及修復漏洞。
而事件令黑客有機可乘,並透過一個來自緬甸的互聯網地址,竊取46個用戶帳號資料,再以此追蹤全球逾81萬個其他帳號,並取得他們的個人資料,包括其姓名、頭像、電郵地址、電話號碼以及出生日期等。
私隱專員鍾麗玲表示,Carousell平台在遷移系統前,並未有進行全面的安全及私隱影響評估,而編碼覆檢程序亦不全面,加上黑客在保持速率限制下擷取資料,令外洩未能被有效偵測。她批評事件顯示,平台所屬公司「Carousell Limited」犯下根本性錯誤,在事件中責無旁貸,就其違反《私隱條例》規定,已發出執行通知,並要求在兩個月內糾正,如訂定相關政策及程序,並在引入系統時作私隱影響評估等。
不過,鍾麗玲認為未有反映平台過度收集個人資料問題,而公司在發現用戶資料被黑客出售後,已按程序向公署通報。
