个人资料私隐专员公署近日发布两份调查报告,重点之一为网上拍卖平台Carousell出现的保安漏洞。此漏洞导致约 260 万名全球用户的个人资料遭外泄,其中包括 32 万名香港用户。泄漏的资料主要包括电邮地址、电话号码及出生日期等。
32 万名香港用户资料外泄
对於 32 万名香港用户资料遭外泄,个人资料私隐专员公署对该事件表示失望及遗憾,认为该事故原本可避免。漏洞源於去年 1 月的系统迁移过程,但 Carousell 直至同年 9 月才发现问题并通报公署。有网上论坛声称可以出售受影响的用户个人资料。
违反资料保护规定
公署指出,Carousell在启动迁移系统前未进行必要的私隐影响评估和安全评估。该公司亦未对新推出的应用程式介面进行全面的编码覆检。因此,Carousell 被裁定违反个人资料保安的规定。
要求采取改善措施
公署已向 Carousell 送达执行通知,要求其在明年2月19日前采取一系列改善措施。这包括制定政策和程序以确保香港用户的数据安全,并在引入重大系统更改前进行评估。Carousell 亦需聘请独立的资料安全专家以检视潜在的保安漏洞。
私隐专员的警告
私隐专员锺丽玲指出,Carousell拥有广泛的国际业务和活跃用户,公众对其有合理的安全期望。她强调,公司延迟发现保安漏洞的行为不理想,可能导致严重後果。个人资料一旦在黑网被披露,可能导致各种诈骗行为。
市民应提高警觉
锺丽玲提醒市民,在互联网或社交媒体上谨慎提供个人资料,并留意网页的私隐设定。她提醒,即使是私人帐户的资料,也可能被黑客撷取,因此应只提供最基本的个人信息。