康文署5億元SmartPLAY有漏洞 輕易勾出陌生用戶全名 資料恐外洩
康文署斥資5億元開發的智能康體服務預訂系統SmartPLAY,自本月9日啟用以來,接連出現故障,今日(13日)再被發現或外洩用戶資料漏洞。用戶在系統中預訂足球場,只要於團隊成員「別名」一欄輸入常見的如Alan或Ben等常見名稱,便會顯示使用該「別名」人士的中文全名,毋須互相認識。
香港資訊科技商會榮譽會長方保僑指,相關的設計粗疏,黑客有機會利用這個設計,抓取用戶資料,只要黑客在「暗網」比對已外洩個人資料,找用戶其他資料,便有機會借SmartPLAY的名義向用戶發出釣魚訊息或電郵,引誘他們在釣魚網站輸入信用卡資料,招致金錢損失,他促程式刪取相關功能。
康文署回覆指,功能原意為方便用戶搜尋其團隊成員,為回應用戶關注,已立即要求承辦商修改程式,停止顯示「團隊成員」中文全名,所有加入為「團隊成員」亦須是對方接受邀請加入「朋友列表」內的用戶,新安排料明早開始實施。
有網民在用SmartPLAY預訂足球場時,於團隊成員一欄輸入用戶自設的「別名」,便會顯示對方中文全名,毋須相識。
記者實測在網上系統預訂足球場,並在團隊成員「別名」一欄輸入十分普遍的Alan及Ben,分別出現一位姓張及姓潘的登記人,只看到姓,名字為星星符號。但按下確定後,系統資料隨即顯示增設為團隊成員的用戶全姓名。
方保僑:黑客可用來逐一抓取用戶資料 再發釣魚訊息
香港資訊科技商會榮譽會長方保僑指,相關的設計粗疏,黑客可利用這個設計,逐一抓取用戶資料,他形容用戶的資料現時如同「公開資料(public information)」。
他續指,現時有很多資料庫曾出現資料外洩,黑客只要掌握用戶名字,到「暗網」比對其他已外洩的個人資料,便有機會找出用戶其他資料,如電話號碼、電郵等,繼而借SmartPLAY的名義向用戶發出釣魚訊息或電郵,引誘他們在釣魚網站輸入信用卡資料,「你畀10蚊,人哋可能就碌咗幾千蚊。」
方保僑指,較正確的做法是應該先向朋友提出要求,當相關朋友同意,才將其名字加入預訂的申請中。他建議SmartPLAY先刪除相關功能,在程式設計上盡快作出補救。
康文署回覆指,預訂草地足球場時,必須填報另外四名用場人士的 SmartPLAY 用戶編號,租用人亦必須與其中三人一同簽場及使用設施。相關功能原意為方便用戶搜尋其團隊成員。
署方又指,為回應用戶關注,康文署已立即要求承辦商修改程式,停止顯示「團隊成員」中文全名,並取消以「用戶帳號或別名」尋找用戶並加入為「團隊成員」的功能,換言之,所有加入為「團隊成員」的必須是對方接受邀請加入「朋友列表」內的用戶。預算新安排在明早開始實施。