康文署的智能康體服務預訂系統SmartPLAY,懷疑有資料外洩漏洞。有用戶反映,利用應用程式預訂足球場時,在團隊成員一欄輸入用戶自設的「別名」,會顯示對方的中文全名,若「別名」過於簡單,可能會容易被搜索到,洩露個人私隱,及被他人利用作訂場之用。
康文署:已要求承辦商修改程式
康文署深夜回覆本台查詢時表示,為回應用戶關注,康文署已立即要求承辦商修改程式,停止顯示「團隊成員」中文全名,同時取消以「用戶帳號或別名」尋找用戶並加入為「團隊成員」的功能,預計新安排在今早開始實施,不過署方未有提及有否向私隱公署通報事件。
康文署表示,SmartPLAY用戶不論經抽籤或以「先到先得」方式預訂草地足球場時,必須填報另外4名用場人士的 用戶編號,租用人亦必須與其中3人一同簽場及使用設施。署方解釋,功能原意為方便用戶搜尋其團隊成員。由於「團隊成員」的其中3人必須與租用人一同簽場及使用設施,用戶如果加入不相識的人作為「團隊成員」,但相關成員沒有到場並以身份證簽場,最終亦不會符合租用及取場要求,不能使用場地。康文署指,新安排下,所有加入為「團隊成員」的必須是對方接受邀請加入「朋友列表」內的用戶。
專家:或被利用發釣魚訊息
香港資訊科技商會榮譽會長方保僑表示,今次屬於程式設計的問題,認為騙徒有機會利用SmartPLAY用戶的全名,比對「暗網」中已外洩個人資料,找出用戶的聯絡方法,再針對性發出釣魚訊息,例如訛稱用戶SmartPLAY訂場時欠款,引誘用戶點擊釣魚網站,造成風險。他指,一般電子支付工具即使要加入朋友進行交易,也要先取得相關朋友同意才可成事,認為SmartPLAY需要暫停經過系統資料庫搜索姓名的功能。
資科辦:已提示康文署檢查事件有否涉及個人私隱洩漏
資科辦表示,已即時向康文署了解有關問題,並提供技術建議,以及要求部門盡快更新相關預訂功能,亦提示部門檢查事件有否涉及個人私隱洩漏,如有需要應盡快聯絡個人資料私隱專員公署。
私隱公署:未接獲投訴或查詢 會聯絡了解事件
私隱專員公署晚上回應指,截至目前,公署未有就有關事件接獲投訴或查詢,會聯絡相關機構了解。
公署說,所有資料使用者,包括政府部門,在收集、持有、處理或使用個人資料時,均須遵從個人資料私隱條例的規定及原則,採取所有切實可行的步驟,確保個人資料受保障。