PopVote存取Telegram密碼易洩資料　保安事故協調中心籲停用

港大民意調查計劃的普及調查PopVote，正進行2017特首選舉民間全民投票，用戶須透過即時通訊程式 Telegram來登記驗證。香港電腦保安事故協調中心表示，關注PopVote系統保安問題，即早前有指PopVote系統會獲取到投票者的Telegram雙重密碼，從而有機會使用戶的對話記錄洩漏。香港電腦保安事故協調中心今（9日）建議，公眾停止使用PopVote，直至相關的保安漏洞獲修復，又或者使用PopVote時，用戶可先轉換新的Telegram戶口或SIM卡。

PopVote投票者需要利用 Telegram 登記，輸入電話號碼後，便會在 Telegram 收到驗證碼，之後才可繼續登記。不過，若投票者在Telegram設定了兩步密碼認證的話，PopVote系統便會要求用戶輸入有關密碼。

就上述問題，香港電腦保安事故協調中心指，有關操作會帶來保安風險，包括對於提交了兩步驗證密碼的用戶，如果PopVote遭到攻擊，則可能會導致信息洩露，攻擊者可能可能會查看到所有聊天記錄，篡改聊天消息或甚至發送消息。

另外在2月7日，香港電腦保安事故協調中心發現PopVote在投票完成後未有終止活動，若然系統受到攻擊，可能會增加被攻擊及竊取資料的風險，但翌日PopVote已更新系統以糾正此問題。

香港電腦保安事故協調中心指，不建議市民使用PopVote，若堅持要連接PopVote系統，則建議用戶轉換新SIM卡或注冊一個新的Telegram戶口。至於已使用過PopVote系統投票的用戶，則建議到Telegram系統內的Active Sessions名單中查看及終止PopVote，及重設雙重密碼。

為防核客才轉用Telegram

港大民意研究計劃主任鍾庭耀，今日出席香港大學春茗時向記者透露，過往PopVote系統一直通過電訊商向投票人發短訊並進行認證，但因過去曾出現電訊商被駭客入侵疑團，今次首次改用安全性較高的Telegram進行認證，繞過電訊商。

鍾續指，雖然坊間有人批評Telegram也會有被駭客入侵的風險，但有份向港大民意研究計劃建議改用Telegram的專家，曾向他表示，相關「風險」只要在投票時關掉「雙重認證」便可以防止。