6.22投票資料疑泄警查
市民接神秘電話 核對身分證
【明報專訊】「佔領中環」在6月委託港大民意研究計劃舉行全民投票,最終有近80萬人投票,美國伺服器公司CloudFlare當時稱成功阻截黑客攻擊,但近日網上流傳破解CloudFlare防護的文章,並張貼一批疑似曾參加「6.22全民投票」的港人身分證號碼和手機號碼,令人擔心投票者資料外泄。本報調查後得知,多名巿民於本周一(25日)起接獲神秘男子來電,核對身分證號碼後掛線,最少4人已報警,警方發言人證實商業罪案調查科科技罪案組已介入調查。
佔中發起人之一陳健民表示,全民投票是佔中委託港大民研計劃處理整個投票個程,對於疑似有投票者資料外泄,需交由港大民研計劃總監鍾庭耀回應。陳健民初步懷疑,資料未必是由投票系統泄漏,可能是有人從其他渠道取得,佔中亦需要進一步了解事件。鍾庭耀至截稿前未有回應。
陳健民疑資料從其他途徑取得
港大民研則指出,投票者的個人資料在儲存前,已變成不能還原的「散列函數」,加上有關資料已全部銷牷A第三者無可能獲得投票者資料。
前日有巿民向本報投訴,表示接獲警方商業罪案調查科科技罪案組探員來電查詢:「係咪參加過6?22投票?」又指其個人資料疑在網上公開,他深感震驚。而本報昨日按網上資料聯絡到數名曾參加投票的巿民,均表示本周一起收到神秘男子來電,準確說出其身分證號碼,對方指資料是在網上流傳,其後掛線。本報發現神秘男子使用同一手機號碼,但記者昨晚致電時卻無人接聽。
最少4人報案
警方證實本周二晚上有一名女子到馬鞍山警署報警備案,指懷疑個人資料被盜用及於互聯網發放;而前日下午,一名55歲姓施男子因同一原因到灣仔警署報案,案件暫列作「求警調查」,由商業罪案調查科科技罪案組跟進。另外,有2名巿民向本報表示已就同類事件報案。
警方呼籲市民如懷疑個人資料被盜用,可到就近警署報案,或致電商業及電腦罪案熱線(2860 5012)求助。
網傳投票者資料 部分正確
內地「FreeBuf黑客與極客」網站近日發表一篇名為「CloudFlare防護下的破綻:尋找真實IP的幾條途徑」的文章。作者以港大民研的全民投票網站作示範,圖文並茂展示如何突破CloudFlare的防護,尋找受保護系統的真實IP地址,更展示一批疑似投票者資料。本報記者昨致電名單上人士,多人表示確曾投票,部分身分證號碼完全正確,部分則英文字母不符。
港大民研:資料全 第三者無法獲取
港大民研科技經理馬晉彥表示,全民投票系統的伺服器由CloudFlare提供的雲端防火牆保護,第三者絕對不能直接存取伺服器資料,有關伺服器和數據庫在活動結束後隨即關閉,已無法再連接。而全民投票網站popvote.hk與投票系統是獨立運作,與投票人士的資料沒有連繫。馬指民研計劃的科技人員曾嘗試跟隨相關文章提供的步驟,發現不可能存取到任何投票人士的個人資料。
華爾基利信息安全研究組織電腦保安研究員賴灼東指出,黑客網站描述的方法,是利用SQLMAP工具入侵資料庫,「純粹『靠估、靠撞』,把資料逐項『試』出來,但此方法非常耗時」。不過,倘若投票者的個人資料真的在儲存前已被「打散」(即不能還原的散列函數),理論上黑客根本無資料可讀取。他建議港大民研可查閱日誌(log),檢查是否真的有黑客不停「『撞』資料」。
明報記者