繼早前出現無法正常預約服務後,康文署的 SmartPLAY 智能康體服務預訂系統再爆出懷疑用戶資料外洩的漏洞。商業電台引述用戶指,當利用 SmartPLAY 程式預訂足球場的時候,在團隊成員欄目輸入用戶自訂的「別名」,程式會顯示對方的中文全名,認為有洩漏個人私隱的嫌疑,同時憂慮資料會被他人利用。
香港資訊科技商會榮譽會長方保僑指今次屬程式設計問題,認為騙徒有機會利用 SmartPLAY 用戶的全名,再與暗網中已外洩個人資料作比對,從而找出用戶的聯絡方法,然後針對性發出釣魚訊息,例如訛稱 SmartPLAY 訂場時欠款,引誘用戶點擊釣魚網站和構成風險。他又表示一般電子支付工具即使要加入朋友進行交易,亦要先取得對方同意才可成事,認為 SmartPLAY 需要暫停透過系統資料庫搜索姓名的功能。
康文署在回覆商台查詢時表示,已經立即要求承辦商修改程式以回應用戶的關注,包括停止顯示團隊成員的中文全名,又取消以用戶帳號或別名,去尋找用戶和加入成為團隊成員的功能。康文署估計新安排會在今早開始實施,但就未有回應有否向私隱專員公署通報今次懷疑個人資料外洩事件。康文署指 SmartPLAY 用戶以抽籤或先到先得方式預訂草地足球場時,必須同時填報另外 4 名用場人士的用戶編號,他們需要一同簽場和使用設施。署方解釋功能原意是方便用戶搜尋其他團隊成員,而新安排下,所有加入成為團隊成員的人,必須接受邀請並被加入到朋友列表。
商台指資訊科技辦公室已經向康文署了解事件,並就此提供技術建議,又要求部門盡快更新相關功能,提示部門檢查事件有否涉及個人私隱外洩,如有需要應盡快聯絡個人資料私隱專員公署。私隱專員公署昨晚回應指,暫時未有就相關事件接獲投訴或查詢,但會跟相關機構聯絡了解。公署提醒包括政府部門在內的所有資料使用者,於收集、持有、處理或使用個人資料時,均須遵從個人資料私隱條例的規定及原則,採取所有切實可行的步驟以確保個人資料受保障。
資料及圖片來源:881903