Carousell洩逾32萬香港用戶資料　私隱署稱犯根本性失誤令人失望

私隱專員公署今日（21日）發表兩份調查報告。其中一份報告關於 Carousell 用戶的個人資料遭未獲准許的擷取，導致260萬名Carousell 全球用戶的個人資料，當中包括超過32萬名香港用戶的帳號遭到外洩。公署指，事故揭示該公司犯了根本性的失誤，實令人非常失望。

事故源於2022年初系統遷移漏洞

私隱專員公署就Carousell Limited一宗資料外洩事故發表調查，Carousell Limnited早前向公署通報資料外洩事故，指一個網上論壇聲稱可出售260萬名Carousell 用戶的個人資料，包括32.4萬個香港用戶帳號的個人資料外洩。Carousell Limited 表示該資料外洩事故，源於2022年1月系統遷移過程中出現的一個保安漏洞。

私隱專員鍾麗玲認為，事件是源於 Carousell 不同缺失導致，例如未有在系統遷移前進行私隱影響評估、不全面的編碼覆檢程序、與系統遷移有關的安全評估有缺失、欠缺與編碼覆檢程序相關的書面政策，以及欠缺有效的偵測措施。

私隱專員認為，Carousell Limited須為下列缺失負責，例如沒有查核在相關系統遷移進行前有否進行私隱影響評估、没有查核在相關應用程式介面推出前有否進行全面的編碼覆檢程序、沒有確保 Carousell 有否就相關系統遷移進行全面的安全評估、沒有查核Carousell 有否制訂與編碼覆檢程序相關的書面政策，以及沒有確保 Carousell 已採取有效措施偵測異常活動，導致未能防止或偵測。

私隱署：若有風險評估措施可避免事故

公署指，事件揭示了 Carousell 在保障由其集團持有的個人資料的安全方面，犯了根本性的失誤，實令人非常失望。私隱專員認為，若當時有實施一般風險及安全評估及措施，相關事件應可避免發生，對有關失誤導致260萬名Carousell 全球用戶的個人資料及超過32萬名香港用戶的帳號遭到外洩表示遺憾。

私隱專員已向 Carousell Limited 送達執行通知，指示 Carousell Limited 糾正其違反事項，以及防止有關違規情況再次發生。

私隱專員亦就個人資料的資訊系統遷移向機構建議，進行私隱影響評估，特别是當系統或行事方式出現重大改變及引人新科技時進行有關評估；制訂確保敷據安全的遷移計劃；進行有效的漏洞評估；提供相關的員工培訓；實施有效的檢測機制偵測異常活動；及制訂地區性政策及程序，確保遵從《私隱條例》的規定。

私隱署要求2月19日或以前提供文件

鍾麗玲形容Carousell 個案非常不幸，「就算私人帳戶嘅資料都係可以畀人擷取嘅，其實正正就話咗畀公眾聽啦，有時唔好諗住話我私人帳戶嘅嘢係百分之一百冇事，呢個資料外洩事故個案試因為相關公司一個程式嘅錯誤，落漏咗落一個過濾器，令到私人賬戶資料都可以被黑客攞。」

對於市民在使用網上平台時如何保障個人資料，鍾麗玲建議市民如無需要，不要隨便在社交媒體提供或上載個人資料，「係唔係上載資料亦都係需要公諸於世呢？係咪要公開咁多資料呢？」她提醒市民留意啟動雙重密碼認證及使用安全性比較強的密碼。她亦建議市民網購時，應檢視相關應用程式的私隱設定系，選擇毋須需要提供過多資料的網購平台。

私隱專員已於昨日（20日）向 Carousell Limited 送達執行通知，包括聘請獨立的數據安全專家檢視網站和流動應用程式及制訂本地政策及程序以進行私隱影響評估、漏洞掃描和安全評估的政策和程序、確保對用於偵測潛在惡意使用應用程式介面的安全措施足夠及達至行業標準及定期檢視等，糾正其違反事項，並須在明年2月19日或以前向專員提供文件。

Carousell：將投入大量資源強化網絡安全

Carousell回覆查詢表示，尊重香港個人資料私隱專員公署的書面判決，該判決亦指出Carousell採取了快速的糾正措施。Carousell將會仔細評估香港個人資料私隱專員公署所提出的建議，並持續與隱私署保持緊密合作。為確保Carousell維持健全且有效的安全體系，將持續投入大量資源來強化安全設施和網絡安全工作。