圖:Carousell拍賣平臺去年洩露包括逾32萬個香港用戶的全球約260萬個用戶個人資料,私隱專員鐘麗玲形容情況嚴重。
【大公報訊】記者賴振雄報道:網上買賣平臺“旋轉拍賣”(Carousell)去年初遷移系統期間,洩露全球約260萬個用戶個人資料,包括逾32萬個香港用戶的姓名、個人頭像、電話號碼、出生日期等,個人資料私隱專員公署完成有關調查,批評“旋轉拍賣”犯瞭根本性失誤,令人非常失望,已發出執行通知,指示糾正違反事項,防止同類行為再發生。
調查報告揭示,“旋轉拍賣”事發時,正推出一個使用者應用程式界面,向用戶顯示他們追蹤對象的公開資料,但由於人為錯誤,在系統遷移過程中,不慎遺漏瞭一個過濾器,最終連同非公開的個人資料也一並顯示。
事故發生後,黑客透過一個來自緬甸的互聯網地址,利用系統漏洞,竊取46個用戶賬號的資料,繼而追蹤逾81萬個其他用戶的個人資料。“旋轉拍賣”集團直至去年九月才發現問題,並修復有關的保安漏洞。
私隱專員鐘麗玲認為,事件涉及32萬香港用戶的資料,若有不法分子從“黑網”購入用戶的資料,可能作違法用途,例如聯絡用戶的親友進行詐騙,或竊取用戶其他賬號的資料等,形容情況嚴重。
今次事件反映,即使是私人賬戶,資料也有機會被人擷取。公署提醒市民,盡量不要在社交媒體平臺上載不必要的個人資料,並要啟用雙重密碼認證功能。私隱專員已向“旋轉拍賣”發出和送達執行通知,要求在明年2月19日之前糾正,包括訂定相關政策和程序等,若公司違反通知,將構成刑事罪行。
四機構被揭不當使用員工資料
“旋轉拍賣”回應,尊重私隱公署的調查結果,將會仔細研究公署的建議,並持續與公署保持緊密合作,將持續投入大量資源,加強安全設施和網絡安全工作。
另外,私隱專員公署過去五年,平均每年接獲逾百宗有關人力資源管理的投訴。公署昨日發表調查報告揭示,醫管局、時尚皮革品牌Christian Louboutin Asia Limited、星娛樂(環宇)有限公司、雁月中醫綜合中心不當使用雇員或前員工的個人資料。其中,醫管局轄下的廣華醫院,有員工投訴病況外洩,他先後兩次透過通訊軟件,直接向部門經理告病假,提及病況,其後直屬上司直接將兩則訊息,轉發至一個有47名員工的通訊群組。投訴人不滿,上司不必要地向他人披露其病況。
另一宗個案,投訴人是星娛樂(環宇)有限公司的前會計員工。投訴人離職後,仍不時於手提電話號碼收到由銀行發出,有關星娛樂關連公司開立賬戶的短訊,他多次要求星娛樂停止使用其個人資料,但未獲跟進,於是向公署投訴。
公署認為,上述第一宗個案,醫管局違反瞭個人資料使用的規定,另一宗個案的公司涉及在未經同意下,使用已離職員工的個人資料,同樣違反私隱條例。
鐘麗玲表示,已向四間機構發出執行通知,指示有關機構作出糾正。廣華醫院回應,接納調查結果及建議,防止同類事件再發生。
發表評論 取消回复