【明報專訊】政府斥資5億元開發的SmartPLAY康體通系統，懷疑有資料外泄漏洞。有用戶反映，若透過「My SmartPLAY」應用程式預訂足球場，在填報團隊成員信息時，於「用戶帳號或別名」一欄隨意輸入他人英文名，程式會顯示以該名作帳號的用戶的中文全名，並添加為「團隊成員」。有用戶擔心自己資料因而外泄，並在不知情下被人用作「炒場」。康文署昨接獲本報查詢後，已立即要求承辦商修改程式，停止顯示中文全名等功能。立法會議員葛珮帆認為新系統啟用以來問題不斷，政府應暫停運作並全盤檢視，「因為唔知仲會唔會有其他問題」。

康署稱原意便搜尋 將改為加人須獲接受

康文署稱，「添加團隊成員」功能原意為方便用戶搜尋其團隊成員，由於團隊成員其中3人必須與租用人一同簽場及使用設施，用戶如加入不相識的人，但相關成員沒到場以身分證簽場，最終亦不會符合租用及取場要求。不過，為回應用戶關注，該署已立即要求承辦商修改程式，停止顯示團隊成員中文全名，並取消以「用戶帳號或別名」尋找用戶並加入為團隊成員的功能；換言之，所有加入為團隊成員的必須是對方接受邀請加入「朋友列表」內的用戶，預算新安排今早起實施。

私隱專員公署稱，截至昨晚未有就事件接到投訴或查詢，會聯絡相關機構了解事件。公署又指在資料保安方面，保障資料第4原則要求資料使用者須採取所有切實可行步驟，以確保由資料使用者持有的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響。

私隱署：未收投訴 聯絡機構了解

據規定，市民用SmartPLAY預訂草地足球場，遞交抽籤申請時，須填報另外4名用場者的康體通用戶編號，租用人亦必須與其中3人一同簽場及使用設施。網上討論區昨有市民上載預訂足球場頁面截圖，顯示租用人填報其他用場者資料時，即使隨意填寫一些名字，用戶名稱一欄便會顯示中文全名，在毋須驗證下可集齊4個用戶姓名。

隨機輸入別名即顯全名 「被入隊」不會知道

本報記者嘗試透過應用程式預訂足球場，隨機輸入帳號或別名包括fion、omg、 louis及hello，程式便自動顯示4名不相識用戶的中文全名，並將之添加為團隊成員，即使隨意輸入字母如「a」，亦會顯示一名用戶中文全名。記者另嘗試添加相識的用戶到團隊成員，經查證顯示該用戶不會收到通知，換言之對方不會知道自己名字被他人用作訂場。

IT界：程式設計問題 或增詐騙風險

香港資訊科技商會榮譽會長方保僑認為事件屬程式設計問題，指顯示的名字是已登記SmartPLAY系統的用戶，騙徒可利用這些資料核對網上其他已外泄資料，找到聯絡方法，從而向當事人發出內容與康體通有關的釣魚電郵，誘使對方提供銀行資料或密碼等以詐騙，增加風險；他認為在添加團隊用戶資料前，應至少設下關卡，例如仿效電子支付工具，須先取得對方同意，認為SmartPLAY應暫停透過系統搜索姓名的功能。

明報記者

■明報報料熱線﹕inews@mingpao.com / 9181 4676