康文署5亿元SmartPLAY有漏洞　轻易勾出陌生用户全名　资料恐外泄

康文署斥资5亿元开发的智能康体服务预订系统SmartPLAY，自本月9日启用以来，接连出现故障，今日（13日）再被发现或外泄用户资料漏洞。用户在系统中预订足球场，只要于团队成员“别名”一栏输入常见的如Alan或Ben等常见名称，便会显示使用该“别名”人士的中文全名，毋须互相认识。

香港资讯科技商会荣誉会长方保侨指，相关的设计粗疏，黑客有机会利用这个设计，抓取用户资料，只要黑客在“暗网”比对已外泄个人资料，找用户其他资料，便有机会借SmartPLAY的名义向用户发出钓鱼讯息或电邮，引诱他们在钓鱼网站输入信用卡资料，招致金钱损失，他促程式删取相关功能。

康文署回复指，功能原意为方便用户搜寻其团队成员，为回应用户关注，已立即要求承办商修改程式，停止显示“团队成员”中文全名，所有加入为“团队成员”亦须是对方接受邀请加入“朋友列表”内的用户，新安排料明早开始实施。

有网民在用SmartPLAY预订足球场时，于团队成员一栏输入用户自设的“别名”，便会显示对方中文全名，毋须相识。

记者实测在网上系统预订足球场，并在团队成员“别名”一栏输入十分普遍的Alan及Ben，分别出现一位姓张及姓潘的登记人，只看到姓，名字为星星符号。但按下确定后，系统资料随即显示增设为团队成员的用户全姓名。

方保侨：黑客可用来逐一抓取用户资料　再发钓鱼讯息

香港资讯科技商会荣誉会长方保侨指，相关的设计粗疏，黑客可利用这个设计，逐一抓取用户资料，他形容用户的资料现时如同“公开资料（public information）”。

他续指，现时有很多资料库曾出现资料外泄，黑客只要掌握用户名字，到“暗网”比对其他已外泄的个人资料，便有机会找出用户其他资料，如电话号码、电邮等，继而借SmartPLAY的名义向用户发出钓鱼讯息或电邮，引诱他们在钓鱼网站输入信用卡资料，“你畀10蚊，人哋可能就碌咗几千蚊。”

方保侨指，较正确的做法是应该先向朋友提出要求，当相关朋友同意，才将其名字加入预订的申请中。他建议SmartPLAY先删除相关功能，在程式设计上尽快作出补救。

康文署回复指，预订草地足球场时，必须填报另外四名用场人士的 SmartPLAY 用户编号，租用人亦必须与其中三人一同签场及使用设施。相关功能原意为方便用户搜寻其团队成员。

署方又指，‎为回应用户关注，康文署已立即要求承办商修改程式，停止显示“团队成员”中文全名，并取消以“用户帐号或别名”寻找用户并加入为“团队成员”的功能，换言之，所有加入为“团队成员”的必须是对方接受邀请加入“朋友列表”内的用户。预算‎新安排在明早开始实施。