為配合「疫苗氣泡」,港府日前更新用以防疫的「安心出行」應用程式,新增將疫苗電子針卡儲存到「安心出行」功能,方便市民進入指定場所時出示。然而,新功能隨即被質疑存在漏洞,本報日前偕同議員實測,發現一張針卡竟可無限上載至任何人的「安心出行」中,變相存在造假空間。專家直指相關漏洞為該應用程式「先天不足」,若針卡被誤傳上網,隨時遭盜用;議員直指相關部門防疫科技落後,促請港府更新系統,上傳針卡資料時需輸入個人資料作同步認證,以堵塞漏洞。
「安心出行」至今推出逾半年,下載量約450萬次,港府於本月1日更新「安心出行」,加入新功能讓用戶透過掃描紙本或電子針卡上的二維碼,便可將疫苗接種或電子檢測紀錄儲存在程式內,方便逾170萬名已接種疫苗人士在需要時展示。記者日前與議員柯創盛一同利用新功能實測,發現將柯的針卡二維碼讓別人的「安心出行」掃描後竟同樣能成功上傳,過程中並無身份辨識功能,即使「安心出行」用戶與針卡持有者非同一人,系統亦無法辨認。
此外,即使並非直接掃描針卡上的二維碼,而是把二維碼拍下後上傳到電腦,再掃描電腦屏幕上的二維碼亦能成功讀取,加上同一張針卡可於多個「安心出行」帳戶登記,若針卡二維碼上傳至網絡,隨時被人盜取,令一張針卡被無限次使用。
柯創盛認為疫情雖有緩和迹象,港府未來將逐步放寬防疫措施,屆時針卡紀錄將成為市民進出各類場所的憑證,若當中存有造假空間,則有機會演變成防疫缺口。他解釋,當有人展示他人針卡資料進入指定場所,職員亦會因無權查閱對方身份證而難辨真偽,加上若在繁忙時間入場,職員往往無暇細查針卡資料,匆匆一瞥便會放行,防疫措施頓時淪為空談。他促請港府必須盡快更新「安心出行」程式,讓市民在登記針卡資料時輸入個人資料作同步認證,同時禁止一份針卡上傳多於一個「安心出行」帳戶。
香港資訊科技商會榮譽會長方保僑則表示,相關漏洞與「安心出行」定位有密切關係,由於不少港人對該應用程式收集個人資料存在憂慮,因此程式所收集的出行紀錄只存放於用戶的手機,不會備存在任何政府系統內,除非用戶因確診而需要將資料傳予衞生防護中心,否則政府無法核實資料是否準確,因此亦不存在資料可核對。方認為要解決針卡漏洞並不容易,亦擔心針卡二維碼被誤傳上網隨時會被多人盜用,呼籲市民小心保管針卡,避免資料洩漏被人盜用。
政府資訊科技總監辦公室發言人表示,針卡所載的資料如「安心出行」中的出行紀錄一樣不會上載任何系統,以保障用戶私隱。正如紙本針卡印有個人資料一樣,電子針卡二維碼亦會包含個人資料,市民應好好保管自己的紙本及電子針卡,切勿將相關資料隨便傳送他人或在社交平台分享,亦不應把其他人的針卡收納到自己手機的「安心出行」內,如市民使用他人的電子針卡或虛假的針卡會觸犯法例,切勿以身試法。當特定人員,例如食環署在巡查執法時,會在有需要時以特製的應用程式顯示二維碼內的個人資料及驗證二維碼內容的真偽,並同時核實持碼人身份。圖:朱偉坤/文:劉燁霆、林建平