HKGalden科技臺
發表文章發起投票
我們呼籲大家暫時不要參與 PopVote 投票
我們發現由今天開始進行的民間特首投票,有關系統需要取得投票者的 Telegram 認證碼。如果投票者有開啟雙重認證,系統更要求取得密碼。理論上,相關人仕可以讀取投票者的 Telegram 內所有message。

我們認為這是很嚴重的保安漏洞,在我們取得進一步的澄清之前,我們呼籲各位市民暫時不要參與投票。已參與投票的人,請立即進入 Telegram 並 clear sessions。

17:28 更新:
有關方面發出以下聲明,在此轉載供大家參考。有關轉載不代表前線科技人員同意有關立場,我們仍在檢視當中。
【有關對PopVote的保安疑慮的澄清聲明】 *請廣傳*

「2017特首選舉民間全民投票」民間提名部分今日起開始運作,然而我們留意到坊間有人可能尚未完全了解系統運作,因而產生疑慮。作為主辦單位,對於系統頁面設計為用家帶來不便和憂慮,深感抱歉,故對此特作說明。

1. 新一代的 PopVote 普及投票系統由自建 SMS 認證和通訊系統,改為採用 Telegram 平台,令系統容量和保安度都大大提升,亦更能抵禦 DDOS 攻擊

2. 在國際特赦組織有關通訊系統安全性報告中 https://www.amnesty.org/en/
…/Documents/POL4049852016ENGLISH.PDF 中顯示,Telegram 平台現有一億人使用,保安程度在十數種全球最流行的通訊軟件中,排名第二高。

3. 為方便用家使用 PopVote 系統,PopVote 直接嵌入了由 Telegram 提供的認證程式碼。用家輸入的認證資料,乃由用家的瀏覽器,以Telegram 的認證程式碼直接送至 Telegram 平台,再由 Telegram 平台回傳一次性認證碼到用家瀏覽器。整個認證過程的資料由 Telegram 認證程式碼執行,絶不可能進入 PopVote 系統。

4. 主辦單位在《個人資料收集聲明》中,已經詳列了 PopVote 系統和主辦單位處理個人資料的範圍和用法。

5. PopVote 系統絶對不會傳送任何和投票無關的資料至任何地方。
主辦單位計劃在是次民間投票結束後,將程式源碼公開,供公民社會使用。用家若對 PopVote 的保安措施有疑慮,可以向我們聯絡,以便用家可以在較早時間取得程式源碼,進行分析。https://www.facebook.com/FrontlineTechWorkersConcernGroup/photos/a.907682852604782.1073741829.907020282671039/1408058525900543/?type=3
Good1Bad2
2017/02/07, 5:40:43 下午
本貼文共有 0 個回覆
此貼文已鎖,將不接受回覆
發表文章發起投票