身兼高教界選委的香港大學副教授戴耀廷的民間選特首展開,卻有人發現系統有保安漏洞疑雲,「前線科技人員」facebook專頁稱,投票人要輸入電話號碼,透過Telegram認證,有機會洩漏個人資料,籲暫不要參予投票。
戴耀廷大搞特首選舉民間公投,透過「PopVote普及投票」利用即時通訊程式Telegram進行,「前線科技人員」在facebook網頁稱,網上有人質疑港大收集過多資料,參予PopVote投票人士,須用Telegram登記,先輸入電話號碼,Telegram會發送驗證碼,再輸入驗證碼,便可繼續登記,但若設有兩步認證,系統會要求輸入兩步認證密碼。
「前線科技人員」指,輸入認證碼及雙重認證後,理論上相關人士可讀取投票者在Telegram所有訊息,是嚴重保安漏洞。有報道稱,有人投票後,發現Telegram在發出認證碼後,向用戶發出訊息,指有其他裝置登入同一戶口,懷疑保安不嚴。
有電腦保安研究員表示,PopVote沒有作最壞打算,例如遭黑客攻擊 ; 此外不法分子也可冒充Telegram 傳送假的 SMS 訊息來進行釣魚攻擊,
有人擔心他人可讀取自己在Telegram登記的資料,「前線科技人員」建議市民暫不要透票,已投票人士宜在Telegram移除PopVote。
PopVote則發表聲明,稱Telegram 的資料絕不可能進入PopVote,認證過程全部在Telegram平台完成,不會進入PopVote 系統。又稱,所有收集的個人資料,只為身份驗證,以免重複投票 ; 所有個人資料在投票結束後一星期內於伺服器完全刪除。
無論如何,網上提供個人資料,都係小心為上,黑客無處不在,網上資料容易外洩,一不留神就帶來重大損失。
Ariel
** 博客文章文責自負,不代表本公司立場 **
