康文署新訂場系統SmartPLAY測試系統外洩　專家：增黑客入侵風險

康樂及文化事務署近年加強打擊體育場館「炒場」問題，最快下月推出全新智能康體服務預訂資訊系統「SmartPLAY」。不過，今日（8日）有網民揭發，可在Google搜尋到「SmartPLAY」系統的網站連結和測試系統「Sandbox」（沙盒）連結，憂慮會構成網絡保安風險，更指當局耗資近五億元開發系統，卻發生如此低級錯誤是難以接受。
香港互聯網協會開放數據小組召集人黃浩華直言，事件是「蝦碌」和低級錯誤，若沙盒未與生產環境分開，或系統未夠穩妥，系統內部運作或已外洩，將會增加系統安全和被黑客入侵的風險，直言承辦商收取政府近五億元開發系統，卻出現如此錯誤是不能接受，認為承辦商需負上責任。
康文署回覆時確認新系統正進行沙盒測試，強調該互聯網連結並不能成功登入測試中的新預訂系統或成功登記。 發言人表示，今次不涉及任何私隱或敏感資料，亦無對新系統造成任何影響，但為免公眾產生疑慮，承辦商已加強資訊科技保安，市民不能再瀏覽有關連結。

Facebook專頁「Gap撈Tech」發文指，在Google搜查「康體通 SmartPLAY」後，第二個搜查結果便是該系統連結，系統的簡介更出現簡體字；第三個搜查結果更是其系統的「沙盒」連結，進入網站後，便出現「SmartPLAY」的標誌、「登錄」、「建立／重新啟動帳戶」等選項，與立法會議員霍啟剛日前在Facebook專頁披露試用「SmartPLAY」的介面接近一樣。

該專頁質疑系統承辦商犯低級錯誤，致沙盒網址「意外流出」，憂慮會導致網絡安全危機。

翻查立法會文件，2024/25年度開發智能康體服務預訂資訊系統的開支為4.998億元，當中通訊網絡的成本佔5,779萬元，即包括維護「SmartPlay」網絡安全的成本達逾半億元。

《香港01》下午嘗試根據上述方法在Google搜索，一度仍能找到系統和其沙盒的網站，但均顯示「Blocked」（被封鎖），至下午4時左右，已再無法搜查到沙盒的網址，而輸入網址進入沙盒，則顯示「無法連上這個網站」。

數據科學家、香港互聯網協會開放數據小組召集人黃浩華表示，認同上述帖文的說法，強調沙盒是系統測試或內部試用的軟件，網址不應外洩，強調只要在網站加上「robots.txt」檔案，Google便不會將網站公開，估計是技術人員開放漏洞作測試時，忘記將網站隱藏，形容是「蝦碌、新手或低級錯誤。」

至於沙盒流出所引致的問題，他則認為，要視乎網站系統開發是否成熟，若系統與生產環境分開，影響相對較低，但若系統現階段仍未夠穩妥，便有機會被外界從中得悉其內部運作的細節，令系統被「玩爛」或受黑客惡化攻擊的概率亦會因而增加，強調政府系統是予市民使用，應更細心留意有關問題。

他強調，一般在發現沙盒流出後，15至30分鐘內便可透過封鎖IP位址的方法，在短期內阻隔外界進入網站，但長久仍應改變網址，以進一步減低網絡安全風險。

康文署回覆指，新系統現在進行沙盒測試，模擬不同場景測試系統功能，包括經互聯網進入系統雲端平台查閱康樂場地設施及活動資料，以及模擬用戶登記。用家需要輸入用戶帳號及密碼才可進入模擬預訂系統，發言人表示，市民雖然能在互聯網找到有關連結，但並不能成功登入測試中的新預訂系統或成功登記。

發言人強調，整個沙盒測試使用模擬測試數據，並不涉及任何私隱或敏感資料，這次事件並沒有對新系統造成任何影響。儘管如此，為免公眾產生疑慮，承辦商已加強資訊科技保安，市民不能再瀏覽有關連結。

康文署非常注重資訊科技保安，新系統已經進行資訊科技保安風險評估及審計，確保符合政府資訊科技保安要求。