2月7日啟動首天即被揭發有嚴重保安漏洞。反對派組織「前線科技人員」指出,系統需要取得用戶的Telegram認證碼以至密碼,相關人士可以讀取投票者的Telegram內所有訊息,呼籲不要參與投票,已投票者則應清除Telegram中的訊息。反對派資訊科技界立法會議員莫乃光也作「緊急呼籲」。「特首民投」回應稱,在瀏覽器內嵌Telegram程式碼的做法是「方便用家」,「系統絕對不會傳送任何和投票無關的資料至任何地方」。
2月8日發起「特首民投」的戴耀廷聲稱,保安漏洞「是任何網絡程式都必會面對的問題,連美國中央情報局也會有這問題」。協助「特首民投」的「公民數據」提出補鑊措施,包括在當眼位置說明系統用法及取得的資料、解釋當中潛在風險、每日檢查系統程式碼有否被改動等。
2月9日香港電腦保安事故協調中心指出,系統會對Telegram用戶構成資料外洩的風險,建議在系統修正前不要使用,或使用全新的SIM卡及Telegram賬戶進入系統。
2月12日「前線科技人員」再揭發系統的保安漏洞,指系統將用戶的Telegram登入憑證(Session Authentication Key)存放在瀏覽器的本地儲存(localStorage)內,即使關閉瀏覽器或重新啓動電腦,該登入憑證不會被清除而且繼續有效,其他使用該電腦者可以取得憑證,登入用戶的Telegram戶口,存取其所有通話記錄及收發新訊息。
2月13日個人資料私隱專員公署指出,「特首民投」收集個人資料的透明度不足,有誤導公眾和損害公眾利益之嫌,違反了《個人資料(私隱)條例》下公平收集個人資料的原則及資料保安原則,已就事件展開循規審查,強烈要求有關機構立即停止不公平收集個人資料及使用有關的Telegram通訊程式。組織「特首民投」的「公民聯合行動」稱,知悉公署的關注,將會於日內主動約見公署。
2月14日「公民聯合行動」跪低,稱為了減低對公眾的困擾,先暫停提名收集。
2月15日個人資料私隱專員黃繼兒與戴耀廷會面,指系統收集資料目的和合法理據欠奉、資料使用者身份不清晰、「個人資料收集聲明」具誤導性,重申做法涉嫌違反《個人資料(私隱)條例》下公平收集個人資料的原則。
2月16日「公民聯合行動」聲稱沒有證據顯示現有系統被入侵,也沒有證據顯示任何用戶個人資料被盜取、破壞或影響,但仍決定停用現有系統,並於2月20日(昨日)上午10時改用新系統重新收集提名。
2月20日「23萬監察」到私隱公署投訴。「特首民投」稱新系統與原有資料庫連接的工作需時較預期長,需在2月22日(明日)中午12時才可重開。
