close
資訊保安

港大「普及調查」被指收集 Telegram 密碼 有可能讀取用戶對話記錄

港大「普及調查」利用即時通訊程式 Telegram 進行,但網上有人質疑 「普及調查」收集過多資料,包括兩步認證的密碼,有機會讓他人看到 Telegram 的對話記錄。Facebook 專頁「前線科技人員」建議市民暫時不要參與。專家賴灼東指出,網站沒有為最壞情況打算,忽略被國家級黑客攻擊的可能。

 

要求輸入兩步認證碼 Telegram 訊息有可能被閱

香港大學的「普及調查(PopVote)」需要利用 Telegram 來登記。當輸入電話號碼後,網站便會向 Telegram 發送驗證碼。輸入正確後便可繼續登記,但如果用戶設了兩步認證的話,系統便會要求用戶輸入兩步認證的密碼。因此,網上有人質疑,把該些資料交由港大伺服器負責是否安全,更擔心他人可藉此自己的 Telegram 通訊記錄。

 

Facebook 專頁「前線科技人員」指,輸入 Telegram 認證碼及雙重認證碼後,「理論上,相關人仕可以讀取投票者的 Telegram 內所有 message」,是嚴重保安漏洞,建議市民暫時不要參與;已參與人士則應在 Telegram 移除 Popvote 的 Session。

 

「普及調查」聲明:資料絶不可能進入 PopVote 系統

帖文亦附有「普及調查」網站的聲明,指網站為提升抵禦網絡攻擊的能力,由自建 SMS 認證和通訊系統,改為採用 Telegram 平台,並指「普及調查」網站是直接嵌入由 Telegram 提供的認證程式碼。

「用家輸入的認證資料,乃由用家的瀏覽器,以 Telegram 的認證程式碼直接送至 Telegram 平台,再由 Telegram 平台回傳一次性認證碼到用家瀏覽器。整個認證過程的資料由 Telegram 認證程式碼執行,絶不可能進入 PopVote 系統。」聲明又指,是次民間投票結束後,計劃將程式源碼公開,供公民社會使用。

「普及調查」網站在進入登記頁前亦列出「個人資料收集聲明」,當中包括:

  • 所有收集的個人資料只用作是次活動的身分驗証、防止重複投票。
  • 所有以電子方式收集的個人資料會於傳送時進行加密,並會以不能還原的散列代碼形式記錄於伺服器,以確保 有關資料實際上無法被人破解和還原。
  • 所有個人資料將在投票結束後一星期內於伺服器完全刪除。

 

賴灼東:網站忽略伺服器被國家級黑客攻擊的可能

華爾基利信息安全研究組織電腦保安研究員賴灼東表示,「普及調查」網站未有清楚交代資料收集的用途,沒有表示將要做甚麼和不會做甚麼。第二,網站亦沒有為最壞情況打算。

他舉例,假如伺服器遭到黑客攻擊後,不法分子可透過資料登入用戶的 Telegram ,或者把資料上載至 Pastebin。此外不法分子可冒充 Telegram 傳送假的 SMS 訊息來進行釣魚攻擊,「試畢 6 字頭和 9 字頭的電話號碼並不困難」;賴灼東補充,最嚴重的情況下,伺服器有機會被國家級黑客攻擊,而不少泛民是 Telegram 的用戶,對話記錄有機會外洩。

賴灼東建議「普及調查」應清楚說明資料收集的用途,並要預早制訂應變措施;網站收集資料前亦應咨詢足夠的法律意見,小心私隱條例。現時,賴灼東的團隊正聯同「前線科技人員」等組織與香港大學跟進事宜。

 

 

Dennis Ma

The author Dennis Ma

為香港讀者分享各種 IT 新聞及趨勢,如企業動態、保安消息(勒索軟件、程式漏洞等)、未來科技(AR、VR、3D打印等。)、電子商貿;亦專門分享 SEO、網頁設計、社交平台推廣等心得。