康文署新订场系统SmartPLAY测试系统外泄　专家：增黑客入侵风险

康乐及文化事务署近年加强打击体育场馆“炒场”问题，最快下月推出全新智能康体服务预订资讯系统“SmartPLAY”。不过，今日（8日）有网民揭发，可在Google搜寻到“SmartPLAY”系统的网站连结和测试系统“Sandbox”（沙盒）连结，忧虑会构成网络保安风险，更指当局耗资近五亿元开发系统，却发生如此低级错误是难以接受。
香港互联网协会开放数据小组召集人黄浩华直言，事件是“虾碌”和低级错误，若沙盒未与生产环境分开，或系统未够稳妥，系统内部运作或已外泄，将会增加系统安全和被黑客入侵的风险，直言承办商收取政府近五亿元开发系统，却出现如此错误是不能接受，认为承办商需负上责任。
康文署回复时确认新系统正进行沙盒测试，强调该互联网连结并不能成功登入测试中的新预订系统或成功登记。 发言人表示，今次不涉及任何私隐或敏感资料，亦无对新系统造成任何影响，但为免公众产生疑虑，承办商已加强资讯科技保安，市民不能再浏览有关连结。

Facebook专页“Gap捞Tech”发文指，在Google搜查“康体通 SmartPLAY”后，第二个搜查结果便是该系统连结，系统的简介更出现简体字；第三个搜查结果更是其系统的“沙盒”连结，进入网站后，便出现“SmartPLAY”的标志、“登录”、“建立／重新启动帐户”等选项，与立法会议员霍启刚日前在Facebook专页披露试用“SmartPLAY”的介面接近一样。

该专页质疑系统承办商犯低级错误，致沙盒网址“意外流出”，忧虑会导致网络安全危机。

翻查立法会文件，2024/25年度开发智能康体服务预订资讯系统的开支为4.998亿元，当中通讯网络的成本占5,779万元，即包括维护“SmartPlay”网络安全的成本达逾半亿元。

《香港01》下午尝试根据上述方法在Google搜索，一度仍能找到系统和其沙盒的网站，但均显示“Blocked”（被封锁），至下午4时左右，已再无法搜查到沙盒的网址，而输入网址进入沙盒，则显示“无法连上这个网站”。

数据科学家、香港互联网协会开放数据小组召集人黄浩华表示，认同上述帖文的说法，强调沙盒是系统测试或内部试用的软件，网址不应外泄，强调只要在网站加上“robots.txt”档案，Google便不会将网站公开，估计是技术人员开放漏洞作测试时，忘记将网站隐藏，形容是“虾碌、新手或低级错误。”

至于沙盒流出所引致的问题，他则认为，要视乎网站系统开发是否成熟，若系统与生产环境分开，影响相对较低，但若系统现阶段仍未够稳妥，便有机会被外界从中得悉其内部运作的细节，令系统被“玩烂”或受黑客恶化攻击的概率亦会因而增加，强调政府系统是予市民使用，应更细心留意有关问题。

他强调，一般在发现沙盒流出后，15至30分钟内便可透过封锁IP位址的方法，在短期内阻隔外界进入网站，但长久仍应改变网址，以进一步减低网络安全风险。

康文署回复指，新系统现在进行沙盒测试，模拟不同场景测试系统功能，包括经互联网进入系统云端平台查阅康乐场地设施及活动资料，以及模拟用户登记。用家需要输入用户帐号及密码才可进入模拟预订系统，发言人表示，市民虽然能在互联网找到有关连结，但并不能成功登入测试中的新预订系统或成功登记。

发言人强调，整个沙盒测试使用模拟测试数据，并不涉及任何私隐或敏感资料，这次事件并没有对新系统造成任何影响。尽管如此，为免公众产生疑虑，承办商已加强资讯科技保安，市民不能再浏览有关连结。

康文署非常注重资讯科技保安，新系统已经进行资讯科技保安风险评估及审计，确保符合政府资讯科技保安要求。