(新加坡訊)電商平台Carousell在遷移系統時被入侵,195萬名用戶的個資泄露。這些個資包括客戶的電郵、電話號碼和生日,信用卡和支付相關資料則不受影響。
《聯合早報》報道,這起事件在10月14日被揭發,受影響的用戶在10月21日才收到電郵通知。據悉,包含用戶個資的數據在網上每份賣1000元(新幣,下同),目前已被買走兩份。
Carousell發言人受詢時說,公司事發一周後才發電郵通知用戶,是為了先查出問題的根源。
「發現數據泄露時,我們立即展開調查,鎖定問題所在、確保哪些用戶受影響,及泄露的數據有哪些。」
調查顯示系統在進行遷移時出現了一個漏洞(bug),有第三方藉機在未經授權下索取用戶的個資。外泄的數據包括用戶電郵地址、手機號碼及生日,信用卡和支付信息則沒有被泄露。
《聯合早報》記者上網搜索發現,有人在網上稱個資被泄露的客戶有260萬人。這些數據早在被揭發的前兩天,也就是10月12日起,就開始在網上論壇以每份1000元的價格出售,截至10月18日已經賣出兩份。
針對受影響客戶的人數,發言人表示,目前只能確定有195萬名用戶的個資泄露。
發言人說,公司已將漏洞修復,防止黑客索取更多用戶的個資。「我們也正在提高系統的安全性能,以更好地保護我們的用戶,避免事件重演。」
發言人向受影響的用戶表示歉意,並強調公司不會通過電郵或簡訊向用戶索取個資。「受影響的用戶應保持警惕,留意來歷不明的簡訊或電郵,不要隨意點擊裡頭的連結。」
個人資料保護委員會發言人受詢時證實,Carousell在10月17日向當局通報事件,調查工作還在進行中。
