SmartPLAY的連結一度出現在Google搜尋器的搜尋結果。(Google網頁截圖)
【22:39更新:加入康文署回覆】
康文署體育場地「炒場」嚴重,最快下月推出新智能康體服務預訂資訊系統,取代使用逾20年舊系統,新系統保留「康體通」名稱,英文名為「SmartPLAY」。不過,有Facebook專頁今早(8日)發文表示,發現系統尚未正式推出,供測試使用的「沙盒」(sandbox)連結卻已可以在Google搜尋器找到和進入,香港資訊科技商會榮譽會長方保僑形容錯誤「幾危險」,或增加系統被黑客入侵和資料洩露風險,建議政府盡快做資訊安全評估。康文署回覆《am730》表示,新系統正進行沙盒測試,強調使用的是模擬測試數據,事件並不涉及任何私隱或敏感資料。
有專頁憂慮事件引致安全風險
Facebook專頁「Gap撈Tech」帖文中指,新的康體通系統在下月啟用前,其「沙盒」模式連結已意外流出,而在Google搜尋中僅輸入「康體通 smartplay」已找到連結,並可以進入,「原來價值1個億嘅服務都會有咁嘅甩漏!」帖文又擔心,測試版本直接「出街」,會造成一定的安全風險。
「康體通」網站於今日下午已無法登入。(網站截圖)
「康體通」連結現已封鎖
該帖文又作出強烈勸喻,指任何人未經授權測試「SmartPLAY」 系統,有可能觸犯香港法例,呼籲大家切勿以身試法。《am730》記者下午嘗試進入該連結時,已遭系統封鎖。
方保僑向《am730》表示,無論是由外判商或康文署自行研發系統,外洩測試連結均是不應該發生的錯誤,「尤其這麼大銀碼,都算是低級錯誤」,形容錯誤「幾危險」,現時系統的原始碼可能被公開,有可能增加被黑客入侵的風險,若使用真實的數據作測試,亦有可能造成資料外洩,故康文署現時應馬上進行資訊安全評估,核實並修補漏洞。
新系統造價近5000萬元
根據前民政事務局2017年提交立法會的文件,開發智能康體服務預訂資訊系統的成本達4,998萬元,其中軟件部分佔492萬元。康文署回覆《am730》查詢稱,新系統現正進行沙盒測試,模擬不同場景測試系統功能,包括經互聯網進入系統雲端平台查閱康樂場地設施及活動資料,以及模擬用戶登記。署方表示,用家需要輸入用戶帳號及密碼才可進入模擬系統,故此市民雖然能找到有關連結,但並不能成功登入測試中的新預訂系統或成功登記。
康文署續稱,整個沙盒測試使用模擬測試數據,並不涉及任何私隱或敏感資料,這次事件並沒有對新系統造成任何影響。儘管如此,為免公眾產生疑慮,承辦商已加強資訊科技保安,市民不能再瀏覽有關連結,又指新系統已進行資訊科技保安風險評估及審計,確保符合政府資訊科技保安要求。
amJetso送太興鮮臘腸 👇立即按此參加
