Carousell 遭外媒揭發 涉 260 萬用戶資料外洩或遭轉售 官方向用戶發信稱偶發事件
【10 月 25 日 13:30 更新報道】
總部設於新加坡的網絡拍賣平台旋轉拍賣(Carousell)日前被《星期日泰晤士報》揭發懷疑發生資料外洩事件,或涉及多達 260 萬個帳戶的資料遭人於暗網(Dark Web)轉售。Carousell 近日向香港用戶發信,亦承認於 2022 年 10 月 21 日獲悉發生了一次「有關香港用戶個人資料外洩的事件」,當中涉及用戶電郵及電話號碼,但強調「屬一次性偶發性質」,並已採取補救措施。
受 Carousell 委託的公關公司回覆《Yahoo 新聞》表示,根據調查,Carousell 於系統遷移過程中出現程式錯誤,導致第三方在未經授權下獲得部分 Carousell 用戶帳號的個人資料,外洩的個人資料包括註冊電郵地址、註冊手機號碼和出生日期。調查發現,受影響的帳號包括新加坡用戶,跟部分香港用戶。Carousell 對於今次事件深表遺憾,並向受影響的用戶致歉。上述的回覆,並無提及受影響的香港用戶數量。
《星期日泰晤士報》(The Sunday Times)調查指,Carousell 本月曾出現大規模用戶資料外洩,有不法分子盜取 Carousell 一個涉及 260 萬個帳戶信息的數據庫,於暗網及黑客論壇出售,以 1,000 新加坡元(約 5,550 港元)的價格出售,當中涉及用戶名稱、電郵地址、手提電話等私隱。Carousell 當地時間上周五(21日)承認,有 195 萬名用戶的帳戶受影響。
Carousell 亦向本港用戶發信,承認於 2022 年 10 月 21 日獲悉發生了一次「有關香港用戶個人資料外洩的事件」。Carousell 指,由於系統遷移過程中出現程式錯誤,遭到第三方以未經授權的方式存取部分用戶的個人資料,但強調已採取行動並修復錯誤,防止將來再度發生類似事件。
Carousell 為事件致歉,並指受影響的資料包括電郵地址、手機號碼,並無任何與密碼相關之資料受到影響,強調「屬一次性偶發性質」,程式錯誤已被修復,用戶的帳號及 Carousell 的服務不受影響。Carousell 已針對關鍵應用程式介面(API)之任何變更實施主動警報,亦正針對任何可能使用個人身分資料的外部 API 增設自動及人工審查機制。
Carousell 對事件致歉,又提醒用戶,不要向他人透露雙重驗證(2FA)密碼,並對來源不明的短訊或電郵提高警覺。
Carousell 業務遍佈多地,不過主要用戶來自香港和新加坡,去年就有調查發現,平均每 5 位港人就有一位是Carousell用戶,有 85% 用戶曾最少一次於平台上購買二手商品,保守估計香港用戶過百萬。
香港資訊科技商會榮譽會長方保僑解釋,相關洩露事件可能的成因,包括公司在外判部分工序如程式編寫、維護時,轉移資料「做得唔乾淨」,即過程中未有做好加密和解密程序,以致黑客有機會攻擊資訊科技外判商;或者公司在與品牌合作時,從這些商店服務的後台介面進入,從而竊取資料。至於事後採取的補救措施成效,有待保安專家作檢視。
方保僑亦指,雖然 Carousell 暫時不提供交易服務,但亦不應掉以輕心,「要當所有嘢都外洩咁做」,例如開啟電郵 2FA,定期更改密碼,留意銀行帳單,如有擔心,亦可要求銀行取消信用卡帳戶。