carousell資料外洩

carousell 資料外洩

Carousell Limited在2022年10月26日向個人資料私隱專員公署(私隱專員公署)通報資料外洩事故。他們表示Carousell Pte Ltd在2022年10月13日在一個網上論壇發現了一則銷售訊息,聲稱能夠出售260萬名Carousell用戶的個人資料。並且在2022年10月21日發現了324,232個香港用戶的帳號受到影響,泄露的個人資料包括電郵地址、電話號碼和出生日期。

CAROUSELL用戶個人資料外洩

私隱專員公署在2023年12月21日發表的調查報告中指出,Carousell在保障其集團持有的個人資料安全方面犯下了重大錯誤,令人非常失望。

根據調查報告指出,Carousell在去年1月進行系統遷移時推出了一個使用者應用程式介面,用於顯示某一用戶所追蹤的所有用戶。然而,由於人為錯誤,在系統遷移過程中不慎遺漏了一個過濾器。該過濾器原本可以確保搜尋結果不包含私人帳號的個人資料,但最終導致用戶的個人資料被意外公開顯示。Carousell集團直到去年9月才發現了這個問題並修復了相關的安全漏洞。

carousell 資料外洩發生時間

CAROUSELL 資料外洩主要事件

私隱專員鍾麗玲指出,黑客在去年5月和6月利用一個來自緬甸的互聯網服務供應商的IP地址,擷取了46個帳戶的資料。隨後,黑客利用這46個帳戶追蹤了大量其他帳戶並獲取了它們的個人資料,其中一個帳戶追蹤了超過81萬個帳戶。

私隱專員鍾麗玲認為,Carousell在進行系統遷移之前沒有進行充分的私隱影響評估,編碼覆檢程序不全面,也缺乏有效的偵測措施,導致未能防止或偵測到應用程式中用戶個人資料的擷取。私隱專員公署已向Carousell發出執行通知,要求平台糾正其違規行為,並防止類似情況再次發生。

根據調查,私隱專員鍾麗玲認為事件來自Carousell以下的5大缺失導致:

  1. 未有在系統遷移前進行私隱影響評估;
  2. 不全面的編碼覆檢程序;
  3. 與系統遷移有關的安全評估有缺失;
  4. 欠缺與編碼覆檢程序相關的書面政策;及
  5. 欠缺有效的偵測措施。

私隱專員認為Carousell Limited須為下列5大缺失負責:

  1. 沒有查核在相關系統遷移進行前有否進行私隱影響評估;
  2. 沒有查核在相關應用程式介面推出前有否進行全面的編碼覆檢程序;
  3. 沒有確保Carousell有否就相關系統遷移進行全面的安全評估;
  4. 沒有查核Carousell有否制訂與編碼覆檢程序相關的書面政策;及
  5. 沒有確保Carousell已採取有效措施偵測異常活動,導致未能防止或偵測Carousell 用戶的個人資料從相關應用程式介面被擷取的情況。

私隱專員就資訊系統遷移,向機構作出以下6點建議,以加強數據安全: 

  1. 進行私隱影響評估,特別是當系統或行事方式出現重大改變及引入新科技時進行有關評估;
  2. 制訂確保數據安全的遷移計劃;
  3. 進行有效的漏洞評估;
  4. 提供相關的員工培訓;
  5. 實施有效的檢測機制偵測異常活動;及
  6. 制訂地區性政策及程序,確保遵從《私隱條例》的規定。

查看《Carousell用戶的個人資料遭未獲准許的擷取》調查報告

目錄