网购平台Carousell超过32万个香港账号资料去年外泄,香港个人资料隐私专员公署批评Carousell在安全方面犯了根本性错误。
综合《明报》和《星岛日报》报道,公署星期四(12月21日)发布这起事件的调查报告。
署方调查发现,Carousell集团在进行系统迁移时,推出了一个使用者应用程序介面,以显示用户所追踪的所有用户,但由于人为错误,过程中遗漏一个可令搜寻结果不显示私人账号个人资料的过滤器,导致推出介面时显示了个人资料。Carousell表示,有关情况为编码错误。
隐私专员钟丽玲指,黑客于去年5月及6月,通过一个来自缅甸的互联网服务供应商的IP地址,撷取了46个账号资料,随后黑客利用这46个账号追踪了大量其他账号并获取了他们的个人资料,其中一个账号追踪了逾81万个账号。
钟丽玲认为,Carousell没有在系统迁移前进行隐私影响评估,编码复检程序不全面,也欠缺有效的侦测措施,在保障集团持有的个人资料安全方面犯了“根本性错误”、令人非常失望。
公署已向Carousell发出执行通知,指示平台纠正其违反事项,防止有关情况再次发生。
涉及260万名Carousell用户的个人资料去年外泄,当中包括逾32万个香港用户账号,外泄的个人资料包括电邮地址、电话号码及出生日期等。