港大認投票網遭駭客入侵‧延24日午4時截票


 2012-03-24 11:13

  • 理工大學是全港最大的票站,人龍23日差不多整天不散,高峰時一度有500人排隊(見圖)。即使到23日晚深夜10時,原定投票時間已過,仍有逾百人等候投票,義工加班接待。(圖:香港明報)

(香港)香港大學民意研究計劃的特首選舉“民間全民投票”網站,過去三日四次受駭客襲擊,在23日投票日,網站更遭到每秒100萬次點擊的駭客攻擊,以致全日癱瘓,大批市民無法藉網站或手機投票。但駭客阻不了市民投票決心,多達2.3萬市民親身湧往各票站實體投票,部份票站至深夜人龍仍有逾百人。連同網上投票,23日投票總數達4.5萬,投票期將延長至24日下午4時。

立法會議員表示,駭客非法攻擊民調網站性質嚴重,港大民意研究計劃總監鍾庭耀23日午仍未決定是否報警,但23日晚他改口風,指待網站系統恢復穩定後,會儘快報警及呈交已儲存的攻擊者資料,以助追查幕後駭客,初步懷疑駭客攻擊來自本地。警方則稱若收到報案,將全面調查。

駭客每秒百萬次點擊
料來自本地

港大民意研究計劃科技經理馬晉彥說,駭客攻破網站保安如防火牆,屬高級入侵手段。為亡羊補牢,研究計劃23日即時向網絡保安公司專家購買網站保安服務,並簡化投票程序,減低系統負荷及網站流量。鍾庭耀稱,希望能爭取24日復修網上投票系統,讓更多市民投票。即使再因駭客襲擊致網站癱瘓,24日上午9時起,巿民仍可到全港17個票站以自備紙張及信封實體投票。

23日4.5萬人投票
盼24日晚10時公佈結果

雖然駭客令網上投票癱瘓,但截至23日晚9時半,已累積多逾4.5萬人投票,較研究計劃原定目標少5000人。4.5萬票中,約2.3萬票是市民親自前往票站所投,反映市民態度踴躍。這2.3萬票站的投票,1.2萬屬紙張投票,其餘是網站電子票。另外2.25萬張票,則是市民以上網或手機的投票。

鍾庭耀稱,投票延長至24日午4時結束,他期望能於24日晚10時公佈投票結果,讓市民以及明日投票選特首的選委參考。

特首選舉“3.23民間全民投票”網站(popvote.hk)23日凌晨零時起運作,但隨即有大量網民投訴,無論以手機抑或網站都無法投票,研究計劃初時疑為網絡擠塞,其後承認或有駭客,至23日晚鍾庭耀確認事件是駭客襲擊,並證實過去3日網站四度遇襲,將儘快報警。

投票網站於3月21日首度遭受“每秒達100萬次點擊”的懷疑駭客攻擊,網站加強保安,例如阻截海外IP後,攻擊暫停。22日,兩名研究計劃職員的電郵戶口,被人入侵及更改密碼;至23日投票日凌晨,駭客經試探後,凌晨3時發動第3度攻擊,令網站癱瘓15分鐘。早上7時後,駭客發動最大規模的第4次攻擊,令網站幾乎全日癱瘓。

鍾庭耀稱,他們原懷疑癱瘓可能是網民太踴躍投票(網站癱瘓前已有1.4萬人投票),但經專家研究後證實是駭客襲擊,他承認網站保安有需要加強。由於網站投票系統癱瘓,23日15個票站有不少都要由電子投票改為紙張投票,研究計劃遂決定各票站採取保安措施,即要求投票者必須把寫上選擇的紙選票,放進寫有身份證號碼的信封再放進票箱,藉查核身份證號碼,防止重複投票;暫無證據顯示有資料外泄。

承諾即毀附身份證號碼信封

但負責其中兩個票站的香港失明人互聯會及龍耳社抗命,理由是選民擔心身份證號碼私隱及投票意向外泄,拒用信封,令兩票站的2000票險變廢票。幸而鍾庭耀23日晚決定接納這批沒信封的紙選票,又強調點票時會即時銷毀有身份證號碼的信封,保障私隱,吁請放心。

三大保安疏忽
數千殭屍電腦作惡

港大民意研究計劃的“民間全民投票網站”網站遭駭客攻擊癱瘓,有專家估計,每秒百萬點擊率的駭客攻擊,可能來自數千部“殭屍私人電腦”。雖然罪魁是駭客,但電腦專家及泛民人士批評,投票網站保安設施不足,至少涉三大疏忽,包括:沒使用較高階保安措施如雲端過濾技術、無隱藏投票真實網址,以及未有儘快報警。

港大民意研究計劃總監鍾庭耀認同,日後網上投票或須做更多保安工作,但若要花數百萬元改善保安來網上投票,不如以後由政府舉辦電子投票,民意研究計劃只用傳統紙張投票。

泛民初選採雲端過濾沒干擾

城大電子工程學系副教授鄭利明說,民間全民投票網站程式寫得較弱,保安不足,他舉例,若在網站程式加入指令,一發現某些網上地址不尋常地在短時間內接觸網站,可過濾或封鎖,減低遇襲風險。電腦保安事故協調中心經理古煒德亦指出,民間全民投票網站可考慮使用雲端過濾技術如CloudFlare,借助雲端公司的防火牆及過濾技術防範攻擊。

民主黨副主席單仲偕及互聯網協會主席莫乃光均指出,像民間全民投票這種政治敏感活動被駭客攻擊並不意外,像早前在泛民初選電子投票時,亦曾遇過懷疑駭客襲擊。不過,泛民當時採取多項保安措施,包括使用CloudFlare雲端過濾服務,以及隱藏真正投票網站,投票最終並無受干擾,泛民近月亦已把相關經驗與鍾庭耀分享。

沒報警受質疑
鍾庭耀補鑊

鍾庭耀未即時就駭客入侵報警受質疑,律師黃國桐指出,駭客入侵是刑事的“有不犯罪或不誠實意圖取用電腦”罪行,最高可判監5年。

立法會議員余若薇憂慮,駭客施襲時可能已偷取網上投票市民的私隱如身份證號碼或投票意向,她認為鍾庭耀“有需要、亦有責任”儘快報警。

鍾庭耀23日晚改口風,指會儘快報警,又說已記錄施襲電腦的資料方便警方追查。警方回應,關注報導稱駭客入侵民調網站,強調若當事人舉報,警方將調查,並全面檢查有關電腦及系統,暫未接獲報案。(香港明報)