康文署斥資5億元開發的SmartPLAY康體通系統,自上周四(9日)推出後問題不斷,最新懷疑有資料外洩漏洞。用戶若透過應用程式預訂足球場,填報團隊成員信息時於「用戶帳號或別名」一欄,如隨意輸入他人英文姓名或自設的「別名」,會顯示以該姓名作帳號的用戶的中文或英文全名。兩人可完全毋須互相認識,若「別名」過於簡單恐會容易被搜索到,觸發個人資料外洩憂慮,在不知情下被「炒場黨」利用。康文署回覆指已要求承辦商修改程式有關漏洞。
「被入隊」不會知道 或被炒場黨利用
本報記者此前成功預訂足球場時添加相識的用戶到團隊成員,查證後發現團隊用戶不會收到通知,換言之若有人利用自己的名字訂場,根本不會知道。
SmartPLAY今日(14日)早上已初步修正有關情況,以別名搜索用戶時只會顯示姓氏,名字部份會以星號取代。康文署回覆傳媒指已要求承辦商修改程式,停止顯示「團隊成員」中文全名,同時取消以「用戶帳號或別名」尋找用戶加入為「團隊成員」的功能。所有加入為「團隊成員」的必須是對方接受邀請加入「朋友列表」內的用戶,新安排今早開始實施。
原意方便搜尋 改為「加人」須獲接受
康文署強調用戶不論經抽籤或以「先到先得」方式預訂草地足球場時,必須填報另外4名用場人士的用戶編號,租用人亦必須與其中3人一同簽場及使用設施。「添加團隊成員」功能原意為方便用戶搜尋其團隊成員,由於團隊成員其中3人必須與租用人一同簽場及使用設施,用戶如加入不相識的人作為「團隊成員」,但相關成員沒到場並以身份證簽場,最終亦不會符合租用及取場要求,不能使用場地。
專家批粗疏 應做公開測試
香港資訊科技商會榮譽會長方保僑在電台節目表示,系統推出時太過粗疏,康文署應該多做公開測試才推出。他指是次屬程式設計問題,騙徒可利用SmartPLAY用戶全名,比對「暗網」中已外洩個人資料,找出用戶聯絡方法,再針對性發出釣魚訊息,如訛稱用戶SmartPLAY訂場時欠款,引誘用戶點擊釣魚網站。他指一般電子支付工具即使要加入朋友進行交易,也要先取得相關朋友同意才可成事。
私隱署正跟進 無收到相關投訴
個人資料私隱專員鍾麗玲回應相關部門於凌晨透過電郵提供資料及採取的措施,今早亦已初步聯絡,表示會再詳細了解及跟進事件;截至今早私隱專員公署無收到相關投訴或查詢。
她指截止上月底,私隱公署共接獲119宗資料外洩的通報公營與私營機構的比例約3:7,認為不論公私營機構都應投放更多資源確保數據安全及網絡安全,並提高員工的相關意識,才能建構網絡安全的環境,成為「營商的致勝之道」。