Carousell因2022年两次数据泄露事件被新加坡个人数据保护委员会(PDPC)罚款58,000新元。
第一次数据泄露发生在2022年9月5日,影响了来自新加坡、马来西亚、印尼、台湾和菲律宾44,777人的个人数据。
第二次数据泄露发生在2022年10月17日,导致260万Carousell用户的个人数据在一个在线论坛上被出售。
Carousell承认对这两起事件负有责任,并被PDPC发现在事件发生后采取了补救措施。
第一次泄露是在Carousell于2022年7月13日对聊天功能进行更改后发生,这些更改让菲律宾用户在回应时将联系方式自动附加到这些消息中。
此外,还泄露了菲律宾用户的电话号码。 Carousell在2022年8月18日通过用户报告才意识到这个bug,并在六天后实施了修复。 届时,已有44,477人的个人数据未经同意被披露。
第二次泄露是在Carousell于2022年1月15日在系统迁移期间推出一个面向公众的应用程序编程接口(API)后发生。
由于调用的数据没有经过筛选,用户的非公开信息,如电子邮件地址、电话号码和出生日期,可以通过该功能被检索。
一个“用户”利用了这个漏洞,获取了大量用户的个人数据。 尽管Carousell后来发现了这个bug并在2022年9月15日修复了它。 然而,由于他们只检查了数据泄露前的60天内的记录,他们没有检测到任何未授权访问用户个人数据的行为。
Carousell在2022年10月13日被PDPC告知,有人在一个在线论坛上提供大约260万Carousell用户的个人数据出售后,才得知此次泄露。
在调查事件并确认数据窃取是由于API bug造成后,他们在2023年10月17日向PDPC确认了数据泄露。 Carousell在2023年10月13日识别并封锁了“用户”账户,并随后通过电子邮件通知了受影响的用户。
违反了个人数据保护法
PDPC发现Carousell违反了个人数据保护法(PDPA),因为它未能对新功能进行充分的上线前测试。
对此两件疏忽,Carousell遭到罚款58,000新元。


