Carousell 遭外媒揭發 涉 260 萬用戶資料外洩或遭轉售 官方向用戶發信稱偶發事件

【10 月 25 日 13:30 更新報道】

總部設於新加坡的網絡拍賣平台旋轉拍賣（Carousell）日前被《星期日泰晤士報》揭發懷疑發生資料外洩事件，或涉及多達 260 萬個帳戶的資料遭人於暗網（Dark Web）轉售。Carousell 近日向香港用戶發信，亦承認於 2022 年 10 月 21 日獲悉發生了一次「有關香港用戶個人資料外洩的事件」，當中涉及用戶電郵及電話號碼，但強調「屬一次性偶發性質」，並已採取補救措施。

受 Carousell 委託的公關公司回覆《Yahoo 新聞》表示，根據調查，Carousell 於系統遷移過程中出現程式錯誤，導致第三方在未經授權下獲得部分 Carousell 用戶帳號的個人資料，外洩的個人資料包括註冊電郵地址、註冊手機號碼和出生日期。調查發現，受影響的帳號包括新加坡用戶，跟部分香港用戶。Carousell 對於今次事件深表遺憾，並向受影響的用戶致歉。上述的回覆，並無提及受影響的香港用戶數量。

《星期日泰晤士報》（The Sunday Times）調查指，Carousell 本月曾出現大規模用戶資料外洩，有不法分子盜取 Carousell 一個涉及 260 萬個帳戶信息的數據庫，於暗網及黑客論壇出售，以 1,000 新加坡元（約 5,550 港元）的價格出售，當中涉及用戶名稱、電郵地址、手提電話等私隱。Carousell 當地時間上周五（21日）承認，有 195 萬名用戶的帳戶受影響。

Carousell 亦向本港用戶發信，承認於 2022 年 10 月 21 日獲悉發生了一次「有關香港用戶個人資料外洩的事件」。Carousell 指，由於系統遷移過程中出現程式錯誤，遭到第三方以未經授權的方式存取部分用戶的個人資料，但強調已採取行動並修復錯誤，防止將來再度發生類似事件。

Carousell 為事件致歉，並指受影響的資料包括電郵地址、手機號碼，並無任何與密碼相關之資料受到影響，強調「屬一次性偶發性質」，程式錯誤已被修復，用戶的帳號及 Carousell 的服務不受影響。Carousell 已針對關鍵應用程式介面（API）之任何變更實施主動警報，亦正針對任何可能使用個人身分資料的外部 API 增設自動及人工審查機制。

Carousell 對事件致歉，又提醒用戶，不要向他人透露雙重驗證（2FA）密碼，並對來源不明的短訊或電郵提高警覺。

Carousell 業務遍佈多地，不過主要用戶來自香港和新加坡，去年就有調查發現，平均每 5 位港人就有一位是Carousell用戶，有 85% 用戶曾最少一次於平台上購買二手商品，保守估計香港用戶過百萬。

香港資訊科技商會榮譽會長方保僑解釋，相關洩露事件可能的成因，包括公司在外判部分工序如程式編寫、維護時，轉移資料「做得唔乾淨」，即過程中未有做好加密和解密程序，以致黑客有機會攻擊資訊科技外判商；或者公司在與品牌合作時，從這些商店服務的後台介面進入，從而竊取資料。至於事後採取的補救措施成效，有待保安專家作檢視。

方保僑亦指，雖然 Carousell 暫時不提供交易服務，但亦不應掉以輕心，「要當所有嘢都外洩咁做」，例如開啟電郵 2FA，定期更改密碼，留意銀行帳單，如有擔心，亦可要求銀行取消信用卡帳戶。