港大「普及調查」利用即時通訊程式 Telegram 進行,但網上有人質疑 「普及調查」收集過多資料,包括兩步認證的密碼,有機會讓他人看到 Telegram 的對話記錄。Facebook 專頁「前線科技人員」建議市民暫時不要參與。專家賴灼東指出,網站沒有為最壞情況打算,忽略被國家級黑客攻擊的可能。
要求輸入兩步認證碼 Telegram 訊息有可能被閱
香港大學的「普及調查(PopVote)」需要利用 Telegram 來登記。當輸入電話號碼後,網站便會向 Telegram 發送驗證碼。輸入正確後便可繼續登記,但如果用戶設了兩步認證的話,系統便會要求用戶輸入兩步認證的密碼。因此,網上有人質疑,把該些資料交由港大伺服器負責是否安全,更擔心他人可藉此自己的 Telegram 通訊記錄。
Facebook 專頁「前線科技人員」指,輸入 Telegram 認證碼及雙重認證碼後,「理論上,相關人仕可以讀取投票者的 Telegram 內所有 message」,是嚴重保安漏洞,建議市民暫時不要參與;已參與人士則應在 Telegram 移除 Popvote 的 Session。
「普及調查」聲明:資料絶不可能進入 PopVote 系統
帖文亦附有「普及調查」網站的聲明,指網站為提升抵禦網絡攻擊的能力,由自建 SMS 認證和通訊系統,改為採用 Telegram 平台,並指「普及調查」網站是直接嵌入由 Telegram 提供的認證程式碼。
「用家輸入的認證資料,乃由用家的瀏覽器,以 Telegram 的認證程式碼直接送至 Telegram 平台,再由 Telegram 平台回傳一次性認證碼到用家瀏覽器。整個認證過程的資料由 Telegram 認證程式碼執行,絶不可能進入 PopVote 系統。」聲明又指,是次民間投票結束後,計劃將程式源碼公開,供公民社會使用。
「普及調查」網站在進入登記頁前亦列出「個人資料收集聲明」,當中包括:
- 所有收集的個人資料只用作是次活動的身分驗証、防止重複投票。
- 所有以電子方式收集的個人資料會於傳送時進行加密,並會以不能還原的散列代碼形式記錄於伺服器,以確保 有關資料實際上無法被人破解和還原。
- 所有個人資料將在投票結束後一星期內於伺服器完全刪除。
賴灼東:網站忽略伺服器被國家級黑客攻擊的可能
華爾基利信息安全研究組織電腦保安研究員賴灼東表示,「普及調查」網站未有清楚交代資料收集的用途,沒有表示將要做甚麼和不會做甚麼。第二,網站亦沒有為最壞情況打算。
他舉例,假如伺服器遭到黑客攻擊後,不法分子可透過資料登入用戶的 Telegram ,或者把資料上載至 Pastebin。此外不法分子可冒充 Telegram 傳送假的 SMS 訊息來進行釣魚攻擊,「試畢 6 字頭和 9 字頭的電話號碼並不困難」;賴灼東補充,最嚴重的情況下,伺服器有機會被國家級黑客攻擊,而不少泛民是 Telegram 的用戶,對話記錄有機會外洩。
賴灼東建議「普及調查」應清楚說明資料收集的用途,並要預早制訂應變措施;網站收集資料前亦應咨詢足夠的法律意見,小心私隱條例。現時,賴灼東的團隊正聯同「前線科技人員」等組織與香港大學跟進事宜。