香港文匯報訊（記者 廣濟）打擊「炒場黨」除了有賴職員嚴正執法，也可依靠科技。康文署花費超過5億元開發的新訂場系統SmartPLAY去年啟用，卻未能有效遏制炒場。資訊安保專家龐博文日前接受香港文匯報訪問時拆解，目前系統最大問題並非技術問題，而是在機制及流程設計上存在漏洞，令炒場者有機可乘，建議康文署的自助簽場機加設人面識別功能，SmartPLAY亦應加入驗證機制，杜絕「炒場黨」利用程式霸場地。此外，他認為目前康文署雖提高對炒場者的罰則，但執法力度以及最終定罪都仍太輕。

康文署在設計SmartPLAY系統時已加入防炒場的功能，包括實名登記；在先到先得的分配機制上，加入以抽籤方式分配特定康體設施功能等，且採用新一代的網上應用系統防火牆及抗機械人程式方案，如發現有不尋常登入或預訂情況，抗機械人程式方案會即時進行分析及攔截自動電腦程式登入新系統，但仍是「道高一尺魔高一丈」，許多防炒場措施「破功」。

改良SmartPLAY驗證防「程式黨」

龐博文表示，SmartPLAY當初的防炒場措施未到位，首先是登入時未有採用複雜驗證機制，以攔截程式機械人，他指出康體通數字加字母的驗證碼容易被「程式黨」自動識別，而現今不少網站已採用圖片識別，譬如要求用戶選出圖片中含有某樣物品的圖片，或者其他類型難度較高、需要真人識別的驗證碼，能有效防範電腦程式自動登入。

第二道關卡是遊戲公司及審計常用的Benford's Law（班佛定律）分析方法。龐博文解釋，這條定律描述了真實世界中的數據頻率分布，以SmartPLAY早上7時開始接受訂場為例，若系統結合此定律對登入時間進行數據分析，便能找到異常數據，進行識別及直接鎖定禁用。

第三道關卡便是簽場機。SmartPLAY以前的年代，場地使用者需前往櫃枱，由康文署職員核對身份證進行簽到手續，且需要「人證合一」，而如今SmartPLAY簽場機，只需掃描身份證，無須認證簽場者是否就是租場人。

龐博文認為，這是極大漏洞，「連人、證都無對應，咁炒場嘅人攞其他人身份證，甚至多張身份證去簽場，如何杜絕呢？所以建議簽場機加入人面或指模識別系統，呢個技術入境處已使用多年，相信一網通辦的時候可以做到。」

香港創科發展協會創會主席陳迪源實測用SmartPLAY訂場後，發現只要以智方便登入，一直到訂場付款時都無須再認證，此舉容易令「炒場黨」有機可乘：「只要炒場黨成員將登入平台的二維碼用手機拍下並傳送給證件持有人認證，首腦即可利用其康體通戶口操控一切，包括『搶場』 甚至付款；而在『機械人流程自動化』（RPA）系統的協助下，首腦大可預先將大量炒場成員資料輸入系統，不斷自動瀏覽保持登入狀態，到早上7點場地開售一刻，便可用人海戰術攻入系統，大大提高搶場機會。」

他建議康文署優化訂場系統，包括要求每個賬戶需使用獨特的手機號碼進行註冊，並在關閉瀏覽器後重新登入。與此同時，訂場系統在預訂確認時，需再以智方便或從手機獲取一次性密碼（OTP）驗證。