逾32万香港账号资料外泄 港隐私署批评Carousell犯根本性错误

网购平台Carousell超过32万个香港账号资料去年外泄，香港个人资料隐私专员公署批评Carousell在安全方面犯了根本性错误。

综合《明报》和《星岛日报》报道，公署星期四（12月21日）发布这起事件的调查报告。

署方调查发现，Carousell集团在进行系统迁移时，推出了一个使用者应用程序介面，以显示用户所追踪的所有用户，但由于人为错误，过程中遗漏一个可令搜寻结果不显示私人账号个人资料的过滤器，导致推出介面时显示了个人资料。Carousell表示，有关情况为编码错误。

隐私专员钟丽玲指，黑客于去年5月及6月，通过一个来自缅甸的互联网服务供应商的IP地址，撷取了46个账号资料，随后黑客利用这46个账号追踪了大量其他账号并获取了他们的个人资料，其中一个账号追踪了逾81万个账号。

钟丽玲认为，Carousell没有在系统迁移前进行隐私影响评估，编码复检程序不全面，也欠缺有效的侦测措施，在保障集团持有的个人资料安全方面犯了“根本性错误”、令人非常失望。

公署已向Carousell发出执行通知，指示平台纠正其违反事项，防止有关情况再次发生。

涉及260万名Carousell用户的个人资料去年外泄，当中包括逾32万个香港用户账号，外泄的个人资料包括电邮地址、电话号码及出生日期等。