康文署5億元SmartPLAY有漏洞　輕易勾出陌生用戶全名　資料恐外洩

康文署斥資5億元開發的智能康體服務預訂系統SmartPLAY，自本月9日啟用以來，接連出現故障，今日（13日）再被發現或外洩用戶資料漏洞。用戶在系統中預訂足球場，只要於團隊成員「別名」一欄輸入常見的如Alan或Ben等常見名稱，便會顯示使用該「別名」人士的中文全名，毋須互相認識。

香港資訊科技商會榮譽會長方保僑指，相關的設計粗疏，黑客有機會利用這個設計，抓取用戶資料，只要黑客在「暗網」比對已外洩個人資料，找用戶其他資料，便有機會借SmartPLAY的名義向用戶發出釣魚訊息或電郵，引誘他們在釣魚網站輸入信用卡資料，招致金錢損失，他促程式刪取相關功能。

康文署回覆指，功能原意為方便用戶搜尋其團隊成員，為回應用戶關注，已立即要求承辦商修改程式，停止顯示「團隊成員」中文全名，所有加入為「團隊成員」亦須是對方接受邀請加入「朋友列表」內的用戶，新安排料明早開始實施。

有網民在用SmartPLAY預訂足球場時，於團隊成員一欄輸入用戶自設的「別名」，便會顯示對方中文全名，毋須相識。

記者實測在網上系統預訂足球場，並在團隊成員「別名」一欄輸入十分普遍的Alan及Ben，分別出現一位姓張及姓潘的登記人，只看到姓，名字為星星符號。但按下確定後，系統資料隨即顯示增設為團隊成員的用戶全姓名。

香港資訊科技商會榮譽會長方保僑（資料圖片／夏家朗攝）

香港資訊科技商會榮譽會長方保僑指，相關的設計粗疏，黑客可利用這個設計，逐一抓取用戶資料，他形容用戶的資料現時如同「公開資料（public information）」。

他續指，現時有很多資料庫曾出現資料外洩，黑客只要掌握用戶名字，到「暗網」比對其他已外洩的個人資料，便有機會找出用戶其他資料，如電話號碼、電郵等，繼而借SmartPLAY的名義向用戶發出釣魚訊息或電郵，引誘他們在釣魚網站輸入信用卡資料，「你畀10蚊，人哋可能就碌咗幾千蚊。」

方保僑指，較正確的做法是應該先向朋友提出要求，當相關朋友同意，才將其名字加入預訂的申請中。他建議SmartPLAY先刪除相關功能，在程式設計上盡快作出補救。

康文署回覆指，預訂草地足球場時，必須填報另外四名用場人士的 SmartPLAY 用戶編號，租用人亦必須與其中三人一同簽場及使用設施。相關功能原意為方便用戶搜尋其團隊成員。

署方又指，‎為回應用戶關注，康文署已立即要求承辦商修改程式，停止顯示「團隊成員」中文全名，並取消以「用戶帳號或別名」尋找用戶並加入為「團隊成員」的功能，換言之，所有加入為「團隊成員」的必須是對方接受邀請加入「朋友列表」內的用戶。預算‎新安排在明早開始實施。