阿鬼
原本是讓大家體驗一下公民提名和投票的PopVote,早前爆出嚴重安全問題後宣佈更新。然而更新後問題仍存在,前線科技人員進行了有關測試,不但變成可以使用海外電話號碼註冊,還有電話和身份證號碼外洩風險。
[the_ad id=”41111″]
PopVote使用Telegram作認證和登入後,原本有登入憑證Session Authentication Key沒有被清除問題,但最近一次更新已把其解決。可是,若用戶開始使用PopVote,但又沒有完成投票程序,有關登入仍然沒有完整登出,引發不必要的風險。
另外,轉用Telegram後代表若使用外國電話號碼,仍然可以投票。前線科技人員測試中,雖然PopVote曾要求輸入香港電話號碼,但仍然可以成功靠以外國電話號碼登記的Telegram完成投票。
最後,PopVote稱拿取用家的身份證號碼和電話號碼時,會產生所謂散列(hash value)。可是PopVote沒有留意所使用的單純的SHA256,資料本身的組合有限。他們根本無需破解散列算法,只需十分鐘就能製作所有香港身分證和電話號碼「散列」的對照表。任何人有相關對照表,即可解讀出有關個人資料。故此,他們仍然叫大家不要使用。
[fb_pe url=”https://www.facebook.com/FrontlineTechWorkersConcernGroup/photos/a.907682852604782.1073741829.907020282671039/1412581402114922/?type=3&permPage=1″]
