香港個人資料私隱專員公署今天發表了兩份調查報告。其中一份報告指明,廣受香港用戶歡迎的線上交易平台 Carousell(旋轉拍賣)被發現存在重大安全缺陷。根據報告,全球約有 260萬名 Carousell 用戶的個人資料洩露,該事件牽連到了逾32萬名香港用戶。
私隱專員公署接到了該平台就用戶資料外洩的正式通報,對此事進行了認真調查。內容稱有網絡論壇聲稱可出售上述用戶的個人資料,洩露資料的途徑與去年1月份 Carousell 系統升級遷移時發現的安全漏洞有關聯。
私隱專員鐘麗玲指出,此事故是因為 Carousell 在保護用戶數據上的疏忽及失敗造成的,包括但不限於:
- 在進行系統遷移前未執行必要的私隱影響評估;
- 編碼覆檢程序不全面;
- 與系統遷移有關的安全評估存在漏洞;
- 欠缺與編碼覆檢程序相關的書面政策;
- 欠缺有效的偵測措施;
- 未確保已採取有效措施,來偵測異常活動。
私隱專員公署表示,Carousell 在確保其持有用戶個人數據安全方面的根本性失誤造成了極大的影響,令人失望。專員公署進一步指出,若 Carousell 事先進行了妥當的風險及安全評估,採取了所需的預防措施,洩漏事件本可以得到避免。
值得注意的是,這事件並非個別現象。根據之前引述的一份由蘋果部門與麻省理工學院研究人員共同發佈的報告《個人數據面臨持續威脅:2023年增長背後的關鍵因素》,2023年個人資料洩露事件達到歷史新高,這一趨勢凸顯了個人資料安全在當下數碼化社會中的緊迫性和重要性。