Carousell洩32萬港用戶資料

2023-12-22 00:00

鍾麗玲呼籲市民無論是上網或使用社交媒體,都要留意保障個人私隱。
鍾麗玲呼籲市民無論是上網或使用社交媒體,都要留意保障個人私隱。

網上買賣平台Carousell去年進行系統遷移期間發生資料外洩,涉及260萬名全球用戶的個人資料,包括逾32萬名香港用戶的帳號資料,當中有用戶姓名、個人頭像、電郵地址、電話號碼和出生日期等。私隱專員公署發表調查報告,指Carousell在保障個人資料安全方面,犯了「根本性錯誤」,令人失望,認為若在系統遷移時有實施一般風險及安全評估等措施,相信有關事件可避免發生,私隱專員對事件發生表示遺憾。

公署於去年10月26日接獲通報,Carousell指事件源於去年1月系統轉移過程中出現的一個保安漏洞,署方就該公司在事件發生時採取的保安措施,共進行了5次查訊。
事件因5項缺失所致

經調查後,私隱專員鍾麗玲認為事件是由5項缺失所致,包括Carousell在系統遷移前,無查核有否進行私隱影響評估,明顯地令到本港用戶資料面臨重大風險;Carousell亦承認在完成新程式介面後的覆檢及測試,未有包括保安問題;Carousell委託第三方網絡安全服務供應商,進行的滲透測試及安全評估,沒有涵蓋新介面故未能發現該保安漏洞;Carousell亦沒有制訂任何與編碼覆檢程序有關的正式書面政策;Carousell未有配置偵測警報。

鍾麗玲表示,事件中用戶的電郵、電話及出生日期均被洩漏,且在黑網出售,資料若落入不法分子手中,可以做很多事包括聯絡用戶親友、假扮用戶等,作出種種詐騙行為,形容情況嚴重。對於Carousell在1月進行遷移,9月才發現情況,她表示理解系統遷移是需要一段時候,但要到9月測試其他項目才發現,情況是完全不理想。

她強調,署方已向Carousell發出執行通知,要求做一系列措施,包括訂定香港的政策及程序,確保香港用戶數據安全,在引入重要系統前必須進行評估,更要求Carousell聘請獨立的資料安全專家,檢視系統中有否其他編碼錯誤及漏洞,並要在兩個月內採取措施,強調如有違反將構成刑事罪行。

鍾麗玲呼籲市民,無論是上網或使用社交媒體,都要留意保障個人資料,舉例在私隱設定中,是否應該將個人資料公開、要上載的資料是否要公開、是否需要公開如此多資料等,如密碼可以啟動雙重資料認證亦應盡快啟動,不要隨便用簡單的密碼。

另外,公署亦調查發現醫管局等4間機構不當保留或使用僱員個人資料,包括有廣華醫院員工投訴指,先後兩次透過即時通訊軟件直接向部門經理請假,並在訊息中提及個人病況,但其上司把該兩則訊息轉發至同一部門的群組。署方認為醫管局違反了個人資料使用的規定。私隱專員已向醫管局等4間機構發出和送達執行通知,指示糾正違反事項,防止同類行為再發生。

關鍵字

最新回應

相關新聞

You are currently at: 187235123.xyz
Skip This Ads
close ad
close ad