Carousell泄32萬港客資料 未全通知客戶 私隱署：犯根本性的失誤 限兩月內糾正

【明報專訊】網上分類買賣平台Carousell（旋轉拍賣）去年10月發現資料外泄，260萬名用戶的個人資料被放在暗網出售，其中32.4萬個香港帳號受影響，外泄資料包括電郵、電話號碼和出生日期；當時公眾對事件所知不多，有受影響用戶曾收到該公司通知，但亦有用戶稱從未接獲通知。事隔逾年，本港私隱專員公署昨日公布調查報告，認為Carousell在保障個人資料安全「犯了根本性的失誤，實令人非常失望」，限兩個月內糾正。立法會選委界別議員江玉歡認為，機構應以減低風險為原則通知所有用戶。

去年發現260萬戶資料被放上網出售

Carousell集團於2012年在新加坡成立，其網頁稱每月活躍用戶達數千萬個。據私隱公署昨發布的調查報告，事件於一年多前揭發，Carousell在去年10月13日發現有人在暗網放售其用戶的個人資料，集團當時初步調查認為，事件只影響新加坡用戶；同月21日才確認香港用戶受影響，5天後向私隱公署通報。

有Carousell用戶向本報表示，在Carousell確認香港用戶受影響後3日、即去年10月24日收到該公司電郵通知，其註冊電郵及手機號碼「受到影響」。不過，有至少兩名用戶表示從未收過該公司電郵，未知受影響否，亦是在昨日私隱公署公布報告，始知Carousell發生用戶資料外泄事件。

漏加過濾器後知後覺 「雙重人為錯誤」

調查報告指該公司於去年1月中推出一個使用者應用程式界面（API），由於人為錯誤，在系統遷移過程中遺漏添加編碼過濾器，導致額外的個人資料被顯示。Carousell事隔8個月、即9月中才發現該保安漏洞，當時分析認為相關應用程式界面無被異常濫用。該公司通報私隱公署後，委任獨立資訊科技顧問公司調查，始確認同年5月及6月有來自緬甸IP的網絡攻擊者擷取46個帳號資料，並用以追蹤大量其他帳號，獲取更多個人資料。

公署調查後認為，Carousell違反《私隱條例》保障資料第4原則，即資料使用者須採取所有切實可行步驟，確保持有的個人資料不受未獲准許或意外查閱等影響。公署批評今次事故涉「雙重的人為錯誤」，負責系統遷移的高級工程師遺漏添加過濾器，其後的編碼覆檢程序，未就保安問題作覆檢，令漏洞沒及早發現。公署批評，該公司作大規模系統遷移時沒做私隱影響評估。

議員促檢討強制舉報通知責任立法

私隱專員鍾麗玲昨形容事故嚴重，指不法分子或利用所得資料，假扮用戶接近其親友詐騙。她提醒市民，在帳戶設為不公開的資料，不一定百分百安全，呼籲不要提供不必要資料。鍾稱本周三已向Carousell在港公司發出執行通知，限明年2月19日內糾正；Carousell的總部在新加坡，公署另將是次調查報告提供予當地個人資料保護委員會。

對於事件中並非所有用戶都收到通知，議員江玉歡認為，由於短時間內往往未能確認外泄事件影響有多大，涉事公司應以減低風險為原則，以最有效方法通知所有用戶。她指本港未就強制舉報資料外泄和通知責任立法，極不理想，促政府考慮檢討。