總部設於新加坡的網絡拍賣平台旋轉拍賣(Carousell)日前被《星期日泰晤士報》揭發懷疑發生資料外洩事件,或涉及多達 260 萬個帳戶的資料遭人於暗網(Dark Web)轉售。Carousell 近日向香港用戶發信,亦承認於 2022 年 10 月 21 日獲悉發生了一次「有關香港用戶個人資料外洩的事件」,當中涉及用戶電郵及電話號碼,但強調「屬一次性偶發性質」,並已採取補救措施。
《Yahoo 新聞》已向 Carousell 作進一步查詢,正等候回覆。
《星期日泰晤士報》(The Sunday Times)調查指,Carousell 本月曾出現大規模用戶資料外洩,有不法分子盜取 Carousell 一個涉及 260 萬個帳戶信息的數據庫,於暗網及黑客論壇出售,以 1,000 新加坡元(約 5,550 港元)的價格出售,當中涉及用戶名稱、電郵地址、手提電話等私隱。Carousell 當地時間上周五(21日)承認,有 195 萬名用戶的帳戶受影響。
Carousell 亦向本港用戶發信,承認於 2022 年 10 月 21 日獲悉發生了一次「有關香港用戶個人資料外洩的事件」。
Carousell 指,由於系統遷移過程中出現程式錯誤,遭到第三方以未經授權的方式存取部分用戶的個人資料,但強調已採取行動並修復錯誤,防止將來再度發生類似事件。
Carousell 為事件致歉,並指受影響的資料包括電郵地址、手機號碼,並無任何與密碼相關之資料受到影響,強調「屬一次性偶發性質」,程式錯誤已被修復,用戶的帳號及 Carousell 的服務不受影響。Carousell 已針對關鍵應用程式介面(API)之任何變更實施主動警報,亦正針對任何可能使用個人身分資料的外部 API 增設自動及人工審查機制。
Carousell 對事件致歉,又提醒用戶,不要向他人透露雙重驗證(2FA)密碼,並對來源不明的短訊或電郵提高警覺。
Carousell 業務遍佈多地,不過主要用戶來自香港和新加坡,去年就有調查發現,平均每 5 位港人就有一位是Carousell用戶,有 85% 用戶曾最少一次於平台上購買二手商品,保守估計香港用戶過百萬。至於今次事件中有多少香港用戶受影響,《Yahoo 新聞》已向 Carousell 作進一步查詢,正等候回覆。
香港資訊科技商會榮譽會長方保僑解釋,相關洩露事件可能的成因,包括公司在外判部分工序如程式編寫、維護時,轉移資料「做得唔乾淨」,即過程中未有做好加密和解密程序,以致黑客有機會攻擊資訊科技外判商;或者公司在與品牌合作時,從這些商店服務的後台介面進入,從而竊取資料。至於事後採取的補救措施成效,有待保安專家作檢視。
方保僑亦指,雖然 Carousell 暫時不提供交易服務,但亦不應掉以輕心,「要當所有嘢都外洩咁做」,例如開啟電郵 2FA,定期更改密碼,留意銀行帳單,如有擔心,亦可要求銀行取消信用卡帳戶。
近日外媒報道總部設於新加坡的網上二手交易平台Carousell(旋轉拍賣)出現大規模用戶資料外洩,多達260萬個帳戶的資料遭人於暗網上轉售。Carousell其後證實事件,並向受影響用戶發送電郵。
事件引起大批網民關注,不少人擔心所外泄的資料,或引來詐騙電話,亦有人質疑有人出售顧客資料。
我都收到(電郵)!即刻刪咗個app
反正我d資料都唔值錢,如果佢有對用戶賠償,對我有賺
咁都好無保障個人私穩喎
Carousell忠實用戶久小姐(化名)向TOPick表示,已持續使用程式約6年,因她常會出售或購買二手物件,故有提供銀行戶口、payme賬戶供買家轉賬,亦有登記電話及電郵地址。她表示:
作為Carousell嘅忠實用戶,我相信佢係會保護我嘅個人資料,無諗過會發生呢種事。
她又對個人資料外泄表示憂慮:
我同其他人嘅交易短訊有我嘅銀行資料,好擔心會唔會被外洩。
惟事件經已發生,久小姐對此感到無可奈何,亦無意追究:
始終都只係一個免費平台,對佢都無太高期望,不過係估唔到最基本,保護用戶資料都做唔到啫。
▲ 久小姐收到平台所發送通知。