香港文匯報訊(記者 文森)本報早前率先報道,揭發「佔中三丑」之一的戴耀廷發起的「特首選舉民間全民投票(PopVote)」有嚴重保安問題和資料外洩風險後,有關系統昨日再被「前線科技人員」揭有新問題,就是登入憑證外洩風險。「前線科技人員」指,「PopVote」會把用戶的Telegram登入憑證儲存在瀏覽器的本地儲存內,即使重新開電腦亦不會被清除,故如果有人在公用電腦上使用「PopVote」,其他用戶亦可取得有關憑證,登入其Telegram賬戶,存取其通話記錄和收發新訊息。此外,由於系統亦可讓人用其他國家和地區的電話登入投票,方便種票,影響投票的公正性。由於系統問題多多,「前線科技人員」facebook專頁再度呼籲市民,立即停用該投票系統。
由戴耀廷牽頭組成的「公民聯合行動」,於上周二起在網絡啟動「特首選舉民間全民投票」提名階段,市民可透過Telegram程式參與提名。可是該「PopVote」系統甫開始運作,即被反對派組織「前線科技人員」踢爆,投票者需提供Telegram戶口密碼,惟此舉既侵犯投票者私隱,更可能讓其個人資料外洩。
被外人登入 無戶口「被開戶」
之後更陸續有苦主反映,投票後其Telegram賬戶不知被何人登入,更有原本沒有Telegram戶口人士離奇「被開戶」。惟「公民聯合行動」拒絕認錯,仍聲稱系統「冇問題」。
事件未解決,系統再被揭發有問題。facebook專頁「前線科技人員」昨日發帖指,再發現「PopVote」系統存在其他保安和設計漏洞,而該漏洞將增加資料外洩的機會和影響投票可信性。
帖文解釋,「PopVote」把用戶的 Telegram 登入憑證(Session Authentication Key)存放在瀏覽器的本地儲存(localStorage)內,即使關閉瀏覽器或重新ㄟ妏q腦,該登入憑證不會被清除而且繼續有效。該瀏覽器的任何使用者,例如公共圖書館或學校的公用電腦之其他用戶,可以取得這個憑證,登入該用戶的Telegram戶口,存取其所有通話記錄及收發新訊息。
帖文續指,該系統在上周三的更新中,修正了投票程序完成後未有登出Telegram的問題,但卻未有妥善處理用戶未完成投票程序時的情況,即如果用戶沒有完成投票程序,就算關閉瀏覽器,重開後仍然保持登入。故此,用戶仍可因此被竊取Telegram戶口。
海外電話可投票 零可信性
此外,由於現時PopVote系統以Telegram登入,取消了只限本地網絡的規定。雖然系統要求用戶填寫本地電話號碼登入Telegram,可是PopVote卻存在明顯設計漏洞,令「前線科技人員」利用此漏洞,成功在海外以外國電話投票,減低投票結果的可信性。
由於系統出現嚴重保安漏洞仍未修正,「前線科技人員」籲市民立即停用,認為任何曾使用該系統市民,應了解通訊紀錄外洩風險,並採取適當措施保護自己的資訊安全。
莫乃光馮家強「專政」轉貼
帖文引發不少迴響,竟連不少「自己友」均表示認同,立法會資訊科技界議員莫乃光、教協總幹事馮家強,以及反對派的「專業議政」,均即時轉貼此帖文,其中馮家強坦言上述漏洞屬fatal risk (致命風險),並已向戴耀廷反映。
另外,一個名為「大地上的資訊保安」專頁,亦對此表示失望,直指公民數據發言人是「避重就輕咁試圖將問題講成所有系統都有黿`見問題」,表明絕不認同系統有能力提供足夠保護。