康文署新訂場系統SmartPLAY測試系統外洩 專家:增黑客入侵風險

撰文:林穎嫺
出版:更新:

康樂及文化事務署近年加強打擊體育場館「炒場」問題,最快下月推出全新智能康體服務預訂資訊系統「SmartPLAY」。不過,今日(8日)有網民揭發,可在Google搜尋到「SmartPLAY」系統的網站連結和測試系統「Sandbox」(沙盒)連結,憂慮會構成網絡保安風險,更指當局耗資近五億元開發系統,卻發生如此低級錯誤是難以接受。
香港互聯網協會開放數據小組召集人黃浩華直言,事件是「蝦碌」和低級錯誤,若沙盒未與生產環境分開,或系統未夠穩妥,系統內部運作或已外洩,將會增加系統安全和被黑客入侵的風險,直言承辦商收取政府近五億元開發系統,卻出現如此錯誤是不能接受,認為承辦商需負上責任。
康文署回覆時確認新系統正進行沙盒測試,強調該互聯網連結並不能成功登入測試中的新預訂系統或成功登記。 發言人表示,今次不涉及任何私隱或敏感資料,亦無對新系統造成任何影響,但為免公眾產生疑慮,承辦商已加強資訊科技保安,市民不能再瀏覽有關連結。

康文署最快下月推出全新智能康體服務預訂資訊系統「SmartPLAY」。(霍啟剛FB圖片)

Facebook專頁「Gap撈Tech」發文指,在Google搜查「康體通 SmartPLAY」後,第二個搜查結果便是該系統連結,系統的簡介更出現簡體字;第三個搜查結果更是其系統的「沙盒」連結,進入網站後,便出現「SmartPLAY」的標誌、「登錄」、「建立/重新啟動帳戶」等選項,與立法會議員霍啟剛日前在Facebook專頁披露試用「SmartPLAY」的介面接近一樣。

該專頁質疑系統承辦商犯低級錯誤,致沙盒網址「意外流出」,憂慮會導致網絡安全危機。

《香港01》下午嘗試根據上述方法在Google搜索,一度仍能找到系統和其沙盒的網站,但均顯示「Blocked」(被封鎖)。(網站截圖)

翻查立法會文件,2024/25年度開發智能康體服務預訂資訊系統的開支為4.998億元,當中通訊網絡的成本佔5,779萬元,即包括維護「SmartPlay」網絡安全的成本達逾半億元。

《香港01》下午嘗試根據上述方法在Google搜索,一度仍能找到系統和其沙盒的網站,但均顯示「Blocked」(被封鎖),至下午4時左右,已再無法搜查到沙盒的網址,而輸入網址進入沙盒,則顯示「無法連上這個網站」。

數據科學家、香港互聯網協會開放數據小組召集人黃浩華。(資料圖片)

數據科學家、香港互聯網協會開放數據小組召集人黃浩華表示,認同上述帖文的說法,強調沙盒是系統測試或內部試用的軟件,網址不應外洩,強調只要在網站加上「robots.txt」檔案,Google便不會將網站公開,估計是技術人員開放漏洞作測試時,忘記將網站隱藏,形容是「蝦碌、新手或低級錯誤。」

至於沙盒流出所引致的問題,他則認為,要視乎網站系統開發是否成熟,若系統與生產環境分開,影響相對較低,但若系統現階段仍未夠穩妥,便有機會被外界從中得悉其內部運作的細節,令系統被「玩爛」或受黑客惡化攻擊的概率亦會因而增加,強調政府系統是予市民使用,應更細心留意有關問題。

他強調,一般在發現沙盒流出後,15至30分鐘內便可透過封鎖IP位址的方法,在短期內阻隔外界進入網站,但長久仍應改變網址,以進一步減低網絡安全風險。

康文署回覆指,新系統現在進行沙盒測試,模擬不同場景測試系統功能,包括經互聯網進入系統雲端平台查閱康樂場地設施及活動資料,以及模擬用戶登記。用家需要輸入用戶帳號及密碼才可進入模擬預訂系統,發言人表示,市民雖然能在互聯網找到有關連結,但並不能成功登入測試中的新預訂系統或成功登記。

發言人強調,整個沙盒測試使用模擬測試數據,並不涉及任何私隱或敏感資料,這次事件並沒有對新系統造成任何影響。儘管如此,為免公眾產生疑慮,承辦商已加強資訊科技保安,市民不能再瀏覽有關連結。

康文署非常注重資訊科技保安,新系統已經進行資訊科技保安風險評估及審計,確保符合政府資訊科技保安要求。