Carousell疑外洩32萬用戶資料　私隱公署揭存人為漏洞　相隔8月始修復：令人失望

【有線新聞】網上二手交易平台Carousell 32萬香港用戶資料早前懷疑外洩，私隱專員公署調查發現平台系統遷移過程出現人為漏洞，犯了基本錯誤，令人失望，要求平台兩個月內糾正，並提交文件證明。
事件源於Carousell去年10月在網上論壇發現有人聲稱可以出售260萬名用戶個人資料，包括約32萬香港用戶的姓名、個人頭像，甚至電郵、電話號碼及出生日期。私隱專員公署接報後調查，發現黑客獲取資料方式十分簡單。個人資料私隱專員鍾麗玲：「黑客在2022年5月及6月通過來自緬甸互聯網地址擷取46個Carousell用戶帳號資料，因為應用程式介面有漏洞。利用46個用戶資料，追蹤大量其他用戶個人資料，包括他們公開版面的資料及私人帳戶資料。」
至於為何搜尋用戶帳號就有個人資料洩漏，公署經過5次查訊後發現平台去年1月系統遷移前未做私隱影響評估，遷移過程中遺漏過濾器，導致在應用程式搜尋用戶時未有隱藏私人帳號的個人資料，而平台編碼覆檢程序不全面，亦欠缺有效偵測措施，事隔8個月才發現及修復漏洞，但未發現應用程式介面遭到異常濫用。
鍾麗玲：「犯了基本性失誤，實在令人非常失望，大家都知道電郵地址、電話，例如在黑網披露出來出售，如果落入不法分子手中可以做很多事，例如可以用電話聯絡你，甚至可以假扮你對親友有種種詐騙行為，甚至可以用電話去看你其他帳戶的資料，這個我們覺得情況是嚴重。」
公署已經書面要求Carousell糾正，並向集團總部所在地新加坡的個人資料保護委員會提供調查報告。