網購非常方便貨品種類繁多,但網絡危機四伏,保安若存漏洞或會導致損失。個人資料私隱專員公署發表調查報告,指網上買賣平台Carousell去年1月遷移系統期間,致全球約260萬個用戶,包括逾32萬個香港用戶的個人資料外洩,黑客亦利用漏洞所取得資料公開出售。私隱專員指,Carousell犯了根本性的失誤,實令人失望,若在系統遷移時有實施一般風險及安全評估等措施,相信有關事件可避免發生,對事件表示遺憾。
公署早前接獲Carousell通報,指一個網上論壇聲稱出售260萬Carousell用戶,含電郵、電話及出生日期的個人資料,當中涉324,232萬個香港用戶帳號。署方調查發現,Carousell集團於去年1月作系統遷移時,推出了一個使用者應用程式介面,可顯示用戶所追蹤的所有用戶。但因人為錯誤,遺漏設置過濾器,令搜尋結果展示了原本不應出現的帳號個人資料;導致推出介面時,顯示了不應公開的個人資料。
其後黑客在2022年5月及6月通過來自緬甸互聯網地址和漏洞擷取46個Carousell用戶帳號資料,並利用該46個用戶資料,繼續追蹤及取得大量其他用戶個人資料,包括他們公開版面的資料及私人帳戶資料。而Carousell集團最終於事隔8個月為一項新功能做標準覆檢過程中,才發現及修復這個保安漏洞,經分析後認為該介面未有被異常濫用的情況。
公署:系統遷移前未查核有否私隱影響評估
鍾麗玲表示,事件中Carousell在系統遷移前,無查核有否進行私隱影響評估,而在完成新的程式介面後的覆檢及測試同樣未有包括保安問題,亦未有配置偵測警報和與編碼覆檢程序有關的正式書面政策;加上受委託第三方網絡安全服務供應商安全評估沒有涵蓋新介面,未能發現該保安漏洞,令本港用戶資料面臨重大風險。
不法分子掌握用戶的電郵、電話及出生日期資料後可以透過包括聯絡用戶的親友、假扮用戶等,作出種種詐騙行為。鍾麗玲表示,形容情況嚴重,公署已向Carousell發出執行通知,要求作一系列改善措施,包括訂定香港的政策及程序,確保香港用戶的數據安全;在引入重要系統前必須進行評估;要求Carousell聘請獨立的資料安全專家,檢視系統中有否其他編碼錯誤及漏洞;兩個月內採取措施,強調如有違反將構成刑事罪行。
另外,鍾麗玲呼籲市民,無論是上網或使用社交媒體,都要留意保障個人資料,如要審慎考慮是否應將個人資料公開,如密碼可以啟動雙重資料認證亦應盡快啟動,不要隨便用簡單的密碼。