Carousell逾32萬本港帳號資料外洩　私隱署批評犯根本性錯誤令人失望 (13:03)

網上買賣平台Carousell去年10月向個人資料私隱專員公署通報資料外洩事件，涉及260萬名Carousell用戶的個人資料遭外洩，當中包括逾32萬個香港用戶帳號的個人資料，包括電郵地址、電話號碼及出生日期。公署今（21日）發表調查報告，指Carousell在保障由其集團持有的個人資料安全方面犯了「根本性錯誤」、令人非常失望。

調查報告指，Carousell於去年1月開始進行系統遷移時，推出一個使用者應用程式介面，以顯示某一用戶所追蹤的所有用戶，但由於人為錯誤，在系統遷移過程中不慎遺漏一個過濾器，該過濾器原本可令搜尋結果不會包括私人帳號的個人資料，最終導致用戶無意被公開的個人資料被顯示。Carousell集團在去年9月才發現問題，並修復有關的保安漏洞。

私隱專員鍾麗玲指，黑客於去年5月及6月，透過一個來自緬甸的互聯網服務供應商的IP地址，擷取了46個帳戶資料，隨後黑客利用該46個帳戶追蹤了大量其他帳戶並獲取了他們的個人資料，其中一個帳戶追蹤了逾81萬個帳戶。

鍾麗玲認為，Carousell沒有在系統遷移前進行私隱影響評估，編碼覆檢程序不全面，亦欠缺有效的偵測措施，導致未能防止或偵測用戶個人資料在應用程式被擷取，指Carousell在保障由其集團持有的個人資料安全方面犯了「根本性錯誤」、令人非常失望。公署已向Carousell發出執行通知，指示平台糾正其違反事項，防止有關情况再次發生。