PopVote存取Telegram密码易泄资料　保安事故协调中心吁停用

港大民意调查计划的普及调查PopVote，正进行2017特首选举民间全民投票，用户须透过即时通讯程式 Telegram来登记验证。香港电脑保安事故协调中心表示，关注PopVote系统保安问题，即早前有指PopVote系统会获取到投票者的Telegram双重密码，从而有机会使用户的对话记录泄漏。香港电脑保安事故协调中心今（9日）建议，公众停止使用PopVote，直至相关的保安漏洞获修复，又或者使用PopVote时，用户可先转换新的Telegram户口或SIM卡。

PopVote投票者需要利用 Telegram 登记，输入电话号码后，便会在 Telegram 收到验证码，之后才可继续登记。不过，若投票者在Telegram设定了两步密码认证的话，PopVote系统便会要求用户输入有关密码。

就上述问题，香港电脑保安事故协调中心指，有关操作会带来保安风险，包括对于提交了两步验证密码的用户，如果PopVote遭到攻击，则可能会导致信息泄露，攻击者可能可能会查看到所有聊天记录，篡改聊天消息或甚至发送消息。

另外在2月7日，香港电脑保安事故协调中心发现PopVote在投票完成后未有终止活动，若然系统受到攻击，可能会增加被攻击及窃取资料的风险，但翌日PopVote已更新系统以纠正此问题。

香港电脑保安事故协调中心指，不建议市民使用PopVote，若坚持要连接PopVote系统，则建议用户转换新SIM卡或注册一个新的Telegram户口。至于已使用过PopVote系统投票的用户，则建议到Telegram系统内的Active Sessions名单中查看及终止PopVote，及重设双重密码。

为防核客才转用Telegram

港大民意研究计划主任钟庭耀，今日出席香港大学春茗时向记者透露，过往PopVote系统一直通过电讯商向投票人发短讯并进行认证，但因过去曾出现电讯商被黑客入侵疑团，今次首次改用安全性较高的Telegram进行认证，绕过电讯商。

钟续指，虽然坊间有人批评Telegram也会有被黑客入侵的风险，但有份向港大民意研究计划建议改用Telegram的专家，曾向他表示，相关“风险”只要在投票时关掉“双重认证”便可以防止。