由「佔中三丑」之一、香港大學法律系副教授戴耀廷牽頭組成的「公民聯合行動」,在網絡上舉行所謂「特首選舉民間全民投票」,結果運作首日即被揭發有嚴重保安漏洞,涉及侵犯私隱,更可能導致個人資料外洩。反對派組織「前線科技人員」昨日發帖指,該系統需要取得投票者的Telegram認證碼以至密碼,「理論上,相關人仕(士)可以讀取投票者的Telegram內所有message。」他們呼籲市民「暫時」不要投票。多名網民則驚呼已經「中魕菕v,有人指有其他人自動登入了他們的戶口,更離譜的是有人替他們「開了戶口」。網民鬧爆該系統侵犯私隱,更質疑「鶠]個)系統根本係想套人Account去投票造數」。 ■記者 羅旦
該個所謂「特首選舉民間全民投票」於昨晨10時正式「啟動」首階段的「提名」部分,多名政界人士狠批該系統是反對派試圖「自製民意」,來向選委施壓及操控選舉結果(見另稿)。
不過,該系統一運作,即被發現有嚴重保安漏洞。「前線科技人員」昨日在facebook發聲明,呼籲「大家暫時不要參與 PopVote(特首選舉民間全民投票)投票」。
同道爆漏洞 籲停止投票
「前線科技人員」稱,「我們發現由今(昨)天開始進行的『民間特首投票』,有關系統需要取得投票者的 Telegram 認證碼。如果有開啟雙重認證,系統更要求取的(得)密碼。理論上,相關人仕(士)可以讀取投票者的Telegram內所有message。我們認為這是很嚴重的保安漏洞,在我們取得進一步的澄清之前,我們呼籲各位市民暫時不要參與投票。已參與投票的人,請立即進入Telegram並clear sessions(清除會話)。」
有關帖文即時在反對派圈子中瘋傳,各反對派組織,包括「進步工程」、「精算思政」等都轉發了有關帖文。
「鍵盤戰線」在轉發的時候貼文指,「據悉登記流程需授權民調系統登入telegram程式,可能構成登記人訊息外洩的風險。因此在『特首選舉民間全民投票』更新登記流程,採用更有效保障私隱的措施認證登記人身份前,『鍵盤戰線』不建議市民登記使用該民調系統。」
「鍵戰」發言人「滑鼠娘娘」就發帖踩多一腳:「1. 你信唔信得過佢地(])?2. 佢地(])個server(伺服器)安唔安全你未必知。3. Privacy statement(隱私聲明)未交待(代)過如果有人上門拎資料會點。4. 拎密碼係過多麰茪H資料。」
網民呻中招 搞手拒認賬
不過,警告已遲,有參與投票的網民即留言反映自己已經「中魕菕v(見另稿)。儘管有多名「苦主」現身,但「公民聯合行動」在其後的「澄清」中,僅聲言「坊間有人可能尚未完全了解系統運作,因而產生疑慮」,又解釋「用家輸入的認證資料,乃由用家的瀏覽器,以Telegram的認證程式碼直接送至Telegram平台,再由Telegram平台回傳一次性認證碼到用家瀏覽器。整個認證過程的資料由Telegram認證程式碼執行,絕不可能進入PopVote系統」云云。
該組織又聲稱,「主辦單位在《個人資料收集聲明》中,已經詳列了PopVote 系統和主辦單位處理個人資料的範圍和用法。......PopVote系統絕對不會傳送任何和投票無關的資料至任何地方。」
不過,口講冇問題,邊會有人信?反對派立法會議員、資訊科技界的莫乃光其後發帖稱,「過往曾經協助Popvote的專家團隊,正與今次活動的系統開發者聯繫,希望可以提供方案處理數據安全問題。」