■網媒《HKG報》揭發疑「民投」保安漏洞。香港文匯報訊(記者 羅旦)「佔中三丑」之戴耀廷,為協助反對派「造王」而舉行所謂「特首民間投票」,結果系統一開始就被爆有嚴重保安漏洞。網媒《HKG報》昨日報道,有2萬個疑似「民投」參與者的身份證號碼被上載至一個美國網站,只要付費登入就可以下載該2萬個參與者資料,不排除黑客已掌握了參與「民投」者的姓名及身份證號碼等個人資料。「民投」主辦者否認其事,稱無「證據」顯示系統被入侵。有網民坦言,個人資料有價,外洩固然不幸,但明知有關系統有保安漏洞還去參與,私隱被出賣「與他人無尤」。
本報此前踢爆所謂「特首民投」,系統需要取得投票者的Telegram認證碼以至密碼,有關人等可讀取投票者的Telegram內所有message,構成登記人訊息外洩的風險。不少網民當時已驚覺「中魕菕v,有人指有其他人自動登入了他們的戶口,更離譜的是有人替他們「開了戶口」。網民鬧爆投票系統侵犯私隱,更質疑系統「根本係想套人account去投票造數」。
私隱署維基早警告 戴妖懶理
有關系統其後在「小修小補」後繼續運作,私隱專員公署其後發表聲明,直指該個採用Telegram的投票系統,會要求收集用戶密碼,但沒有清楚說明收集目的和用途的合法理據,尤其是活動擬定的目的和後果涉及公眾關注和受影響的重大議題,違反《個人資料(私隱)條例》下公平收集個人資料的原則,有誤導參與者、資料和數據有被誤用或濫用之嫌。
網站「維基解密」近日更揭發,美國中央情報局(CIA)可以繞過Telegram的加密技術,竊取用戶私人訊息,為外國勢力操縱「特首民投」再添一重陰霾。不過,戴耀廷一於懶理參與者私隱外洩的風險,近日聯同公民黨等反對派政黨繼續大肆宣傳有關的「民投」系統,近日終於「出事」。
《HKG報》揭付費賬戶登入可套料
《HKG報》昨日發帖,指有人向他們爆料,指有二萬個疑似民投參與者的身份證號碼已被上載美國網站Pastebin.com,任何人登入之後,都可下載首54位參與者身份證號碼的首六個英文及數目字,最後兩個數字則以*顯示,若以付費賬戶登入,更可下載二萬個參與者資料。
該報記者就此事詢問資訊科技界人士,對方指懷疑洩漏資料的網站Pastebin是一個原始碼儲存分享平台,使用者可以在此網站上任意儲存純文字。至於為何有關身份證號碼的最後兩個位以*顯示,則應該是發佈者所為,不排除黑客已掌握姓名等更多「民投」參與者的個人資料,惟規避法律風險才用*隱去當中一部分,「但誰敢保證他未來不會公開更多呢?」
網民「Ki Chu」留言批評所謂「民投」,「投票係假收集個人資料係真。」「Howard Chan」就道,「個人資料,可以賣到錢謘A 你唔係唔知嘛?」「Ho Wing Kwong」揶揄道,參與「民投」者「送羊入虎口!與人無由(尤)」。「Yauchuen Yip」就開玩笑說,「希望有人幫此二萬人出-張信用卡。」
主辦者稱指控「惡意中傷」
不過,主辦「民投」的「公民聯合行動」昨晚就回應稱,經他們的技術團隊「反覆檢測」,沒有任何「證據」顯示有關的投票系統曾被入侵,也沒有出現任何不正常的情況,故所有儲存在系統內的個人資料是「絕對安全的」,故相關的指控是「惡意中傷」,並予以「嚴厲譴責」云云。