總部設於新加坡的網絡拍賣平台旋轉拍賣(Carousell)日前被《星期日泰晤士報》揭發懷疑發生資料外洩事件,或涉及多達 260 萬個帳戶的資料遭人於暗網(Dark Web)轉售。Carousell 近日向香港用戶發信,亦承認於 2022 年 10 月 21 日獲悉發生了一次「有關香港用戶個人資料外洩的事件」,當中涉及用戶電郵及電話號碼,但強調「屬一次性偶發性質」,並已採取補救措施。
《Yahoo 新聞》已向 Carousell 作進一步查詢,正等候回覆。
《星期日泰晤士報》(The Sunday Times)調查指,Carousell 本月曾出現大規模用戶資料外洩,有不法分子盜取 Carousell 一個涉及 260 萬個帳戶信息的數據庫,於暗網及黑客論壇出售,以 1,000 新加坡元(約 5,550 港元)的價格出售,當中涉及用戶名稱、電郵地址、手提電話等私隱。Carousell 當地時間上周五(21日)承認,有 195 萬名用戶的帳戶受影響。
Carousell 亦向本港用戶發信,承認於 2022 年 10 月 21 日獲悉發生了一次「有關香港用戶個人資料外洩的事件」。Carousell 指,由於系統遷移過程中出現程式錯誤,遭到第三方以未經授權的方式存取部分用戶的個人資料,但強調已採取行動並修復錯誤,防止將來再度發生類似事件。
Carousell 為事件致歉,並指受影響的資料包括電郵地址、手機號碼,並無任何與密碼相關之資料受到影響,強調「屬一次性偶發性質」,程式錯誤已被修復,用戶的帳號及 Carousell 的服務不受影響。Carousell 已針對關鍵應用程式介面(API)之任何變更實施主動警報,亦正針對任何可能使用個人身分資料的外部 API 增設自動及人工審查機制。
Carousell 對事件致歉,又提醒用戶,不要向他人透露雙重驗證(2FA)密碼,並對來源不明的短訊或電郵提高警覺。
Carousell 業務遍佈多地,不過主要用戶來自香港和新加坡,去年就有調查發現,平均每 5 位港人就有一位是Carousell用戶,有 85% 用戶曾最少一次於平台上購買二手商品,保守估計香港用戶過百萬。至於今次事件中有多少香港用戶受影響,《Yahoo 新聞》已向 Carousell 作進一步查詢,正等候回覆。
香港資訊科技商會榮譽會長方保僑解釋,相關洩露事件可能的成因,包括公司在外判部分工序如程式編寫、維護時,轉移資料「做得唔乾淨」,即過程中未有做好加密和解密程序,以致黑客有機會攻擊資訊科技外判商;或者公司在與品牌合作時,從這些商店服務的後台介面進入,從而竊取資料。至於事後採取的補救措施成效,有待保安專家作檢視。
方保僑亦指,雖然 Carousell 暫時不提供交易服務,但亦不應掉以輕心,「要當所有嘢都外洩咁做」,例如開啟電郵 2FA,定期更改密碼,留意銀行帳單,如有擔心,亦可要求銀行取消信用卡帳戶。
https://hk.news.yahoo.com/%E5%A4%96%E5%AA%92%E7%88%86-carousell-%E8%B3%87%E6%96%99%E5%A4%96%E6%B4%A9-%E6%B6%89-260-%E8%90%AC%E5%B8%B3%E6%88%B6%E8%B3%87%E6%96%99-carousell-%E5%90%91%E7%94%A8%E6%88%B6%E7%99%BC%E4%BF%A1%E7%A8%B1%E5%81%B6%E7%99%BC%E4%BA%8B%E4%BB%B6-155537104.html
