【明報專訊】「佔領中環」在6月委託港大民意研究計劃舉行全民投票，最終有近80萬人投票，美國伺服器公司CloudFlare當時稱成功阻截黑客攻擊，但近日網上流傳破解CloudFlare防護的文章，並張貼一批疑似曾參加「6．22全民投票」的港人身分證號碼和手機號碼，令人擔心投票者資料外泄。本報調查後得知，多名巿民於本周一(25日)起接獲神秘男子來電，核對身分證號碼後掛線，最少4人已報警，警方發言人證實商業罪案調查科科技罪案組已介入調查。

佔中發起人之一陳健民表示，全民投票是佔中委託港大民研計劃處理整個投票個程，對於疑似有投票者資料外泄，需交由港大民研計劃總監鍾庭耀回應。陳健民初步懷疑，資料未必是由投票系統泄漏，可能是有人從其他渠道取得，佔中亦需要進一步了解事件。鍾庭耀至截稿前未有回應。

陳健民疑資料從其他途徑取得

港大民研則指出，投票者的個人資料在儲存前，已變成不能還原的「散列函數」，加上有關資料已全部銷�牷A第三者無可能獲得投票者資料。

前日有巿民向本報投訴，表示接獲警方商業罪案調查科科技罪案組探員來電查詢：「係咪參加過6?22投票？」又指其個人資料疑在網上公開，他深感震驚。而本報昨日按網上資料聯絡到數名曾參加投票的巿民，均表示本周一起收到神秘男子來電，準確說出其身分證號碼，對方指資料是在網上流傳，其後掛線。本報發現神秘男子使用同一手機號碼，但記者昨晚致電時卻無人接聽。

最少4人報案

警方證實本周二晚上有一名女子到馬鞍山警署報警備案，指懷疑個人資料被盜用及於互聯網發放；而前日下午，一名55歲姓施男子因同一原因到灣仔警署報案，案件暫列作「求警調查」，由商業罪案調查科科技罪案組跟進。另外，有2名巿民向本報表示已就同類事件報案。

警方呼籲市民如懷疑個人資料被盜用，可到就近警署報案，或致電商業及電腦罪案熱線(2860 5012)求助。

網傳投票者資料 部分正確

內地「FreeBuf黑客與極客」網站近日發表一篇名為「CloudFlare防護下的破綻：尋找真實IP的幾條途徑」的文章。作者以港大民研的全民投票網站作示範，圖文並茂展示如何突破CloudFlare的防護，尋找受保護系統的真實IP地址，更展示一批疑似投票者資料。本報記者昨致電名單上人士，多人表示確曾投票，部分身分證號碼完全正確，部分則英文字母不符。

港大民研：資料全�� 第三者無法獲取

港大民研科技經理馬晉彥表示，全民投票系統的伺服器由CloudFlare提供的雲端防火牆保護，第三者絕對不能直接存取伺服器資料，有關伺服器和數據庫在活動結束後隨即關閉，已無法再連接。而全民投票網站popvote.hk與投票系統是獨立運作，與投票人士的資料沒有連繫。馬指民研計劃的科技人員曾嘗試跟隨相關文章提供的步驟，發現不可能存取到任何投票人士的個人資料。

華爾基利信息安全研究組織電腦保安研究員賴灼東指出，黑客網站描述的方法，是利用SQLMAP工具入侵資料庫，「純粹『靠估、靠撞』，把資料逐項『試』出來，但此方法非常耗時」。不過，倘若投票者的個人資料真的在儲存前已被「打散」(即不能還原的散列函數)，理論上黑客根本無資料可讀取。他建議港大民研可查閱日誌(log)，檢查是否真的有黑客不停「『撞』資料」。

明報記者