康文署系統接連甩漏 輸入隊員「別名」 同名全顯示

斥資5億元開發的智能康體服務預訂系統SmartPLAY，自本月9日啟用以來，接連出現甩漏，近日再被揭發系統有資料外洩風險。香港文匯報記者昨日凌晨實測，用戶只要於團隊成員「別名」一欄輸入常見的人名，如Alan或Ben等，系統便會把資料庫內其他曾使用該「別名」用戶的中文全名顯示出來，使SmartPLAY用戶的資料曝露予陌生人。事件被揭露後，昨午起系統已作修訂以堵塞漏洞。康文署回應指，已要求承辦商修改程式，停止顯示「團隊成員」中文全名，並於昨日作出修訂，只用星號「*」顯示部分用戶名字。個人資料私隱專員鍾麗玲表示，雖然暫時沒有收到投訴或查詢，但會跟進事件。 ◆香港文匯報記者 吳健怡

康文署早年斥資5億元開發SmartPLAY康體通系統，推出以來問題不斷，繼系統因為過多用戶登入，不勝負荷而網絡「大塞車」後，近期有用戶反映若透過「My SmartPLAY」應用程式預訂足球場，填報團隊成員資料時，於「用戶賬號或別名」一欄，隨意輸入他人英文姓名，程式會顯示以該姓名作賬號登記的其他陌生用戶之中文全名，添加為「團隊成員」，可能導致個人資料外洩，被「炒場黨」利用。

已要求承辦商修訂堵塞漏洞

香港文匯報記者亦在昨日凌晨進行實測，在該系統預訂足球場，並在團隊成員「別名」一欄輸入十分普遍的英文名，如Alan及Ben，系統即勾出一位姓張及姓潘的登記人名字，初時只顯示姓氏，名字為星號。但按一下確定掣後，系統隨即顯示該名陌生登記人的全名。

事件被揭發後，記者昨午再進入系統，SmartPLAY已修正搜尋功能，以別名搜索用戶時只會顯示姓氏，名字部分資料會以星號取代。

康文署回應時表示，SmartPLAY用戶不論經抽籤或以「先到先得」方式預訂草地足球場時，必須填報另外4名用場人士的用戶編號，租用人亦必須與其中3人一同簽場及使用設施，功能原意為方便用戶搜尋其團隊成員。現在已立即要求承辦商修改程式，停止顯示「團隊成員」中文全名，所有加入為「團隊成員」亦須是對方接受邀請加入「朋友列表」內的用戶。

康文署署長劉明光昨日出席公開活動後表示，前日知悉有用戶反映問題後，已即時叫承辦商更改設計，不會再搜尋到用戶全名。另承辦商正進行工作，用戶在預訂足球場等場地時，在加入其他團隊成員姓名步驟，必須取得對方同意，才可加入「朋友項目」（friend list）中。當使用對方姓名訂場後，也會通知「朋友」，通知形式會是短信或電郵，「在短時間內便會推出新功能」。

他強調，前晚已第一時間知會私隱專員公署，昨日亦跟公署交流意見，暫未收到用戶查詢擔心私隱外洩。至於系統推出前有否作全面私隱測試，他透露在設計系統時曾作公眾諮詢，主動問過巿民對設計、版面有何意見，今年7月進行用戶登記時，在全港各區作自助服務站收集意見。

議員促暫停運作全面檢視

民建聯立法會議員葛珮帆則建議，康文署應該暫停SmartPLAY運作，全面檢視該軟件的所有網絡安全漏洞，以及查核現時所造成的損失。她指出，SmartPLAY自啟用以來，便接連出現故障，除了被指有資料外洩的漏洞，亦出現系統「大塞車」、同一時段重複預訂的情況等，市民會因此失去信心。