【保安漏洞】Carousell洩逾32萬香港用戶資料 私隱署批評:嚴重失誤

    網上拍賣平台 Carousell 去年 9 月發現用戶個人資料外洩,牽涉全球 260 萬用戶,包括逾 32 萬香港用戶的電郵地址、電話及出生日期。私隱專員公署就事件發表調查報告,指今次事故屬嚴重失誤,對事件感到失望及遺憾。

    調查報告指,Carousell 去年 1 月在系統遷移過程中出現人為錯誤,不慎漏放過濾器,以致用戶部分本應不會顯示的個人資料被公開,形成保安漏洞。有黑客在同年 5 月及 6 月時,透過一個來自緬甸的互聯網服務供應商的 IP 位址,擷取了 46 個 Carousell 用戶帳號的資料,並利用這批帳戶,以追蹤大量其他帳戶,獲取更多個人資料,其中一個帳戶更追蹤了超過 81 萬個帳戶。

    然而,Carousell 在同年 9 月才發現問題,隨即修復有關的保安漏洞並向公署通報,而網上亦有論壇聲稱出售 260 萬名 Carousell 用戶的個人資料。

    公署指出,Carousell 犯下多項缺失,包括在啟動遷移系統前,未核查有否進行私隱影響評估;沒有查核應用程式介面在推出前,是否已進行全面的編碼覆檢程序等,認為該集團需對此負責,並指 Carousell 在保障個人資料安全方面犯了根本性錯誤,令人非常失望。

    公署在本周三已向 Carousell 送達執行通知,要求實施一系列風險及安全評估及措施,糾正其違反事項,並需向明年 2 月 19 日前向公署提交文件。

    #Carousell #CyberSecurity #網絡安全

    相關文章