再有一點值得留意，今天的Popvote 和之前的Popvote 是不同的團隊. 當年的團隊，帶著謙卑的心態去協作。

但到今天 ，我只可以提醒大家不要使用..

況用朋友的一個comment: 愛之深，責之切..

【PopVote 安全問題未解決 再發現新問題】

除了早前被發現的嚴重的保安問題和資料外洩風險 [1] 外，前線科技人員的團隊經過調查，昨日再發現 PopVote 系統存在其他的保安和設計漏洞，已即時通知 PopVote 普及投票及負責系統技術的 Civic Data 公民數據的負責人，該漏洞增加資料外洩的機會和影響投票可信性。

登入憑證外洩風險

PopVote 把用戶的 Telegram 登入憑證（Session Authentication Key）存放在瀏覽器的本地儲存（localStorage）內，即使關閉瀏覽器或重新啓動電腦，該登入憑證不會被清除而且繼續有效。該瀏覽器的任何使用者，例如公共圖書館或學校的公用電腦的其他用戶，可以取得這個憑證，登入該用戶的 Telegram 戶口，存取該用戶的所有通話記錄及收發新訊息。

該系統在2月8日的更新中修正了投票程序完成後未有登出 Telegram 的問題。這個修正本應能減低上述漏洞的影響，可是我們發現這個修正未有妥善處理用戶未完成投票程序時的情況。如果用戶沒有完成投票程序，就算關閉瀏覽器，重開後仍然保持登入。故此，用戶仍然可以因為這個漏洞而被竊取 Telegram 戶口。

投票結果可信性

在 2012 和 2014 年的民間投票當中，系統要求用戶以香港網絡登入，並且使用本地電話號碼透過短訊（SMS）確認。這個設計的原意是確保只有香港居民才能參與投票，並且增加種票的成本。

然而，新的 PopVote 系統改為以 Telegram 登入後，取消了只限本地網絡的規定。雖然系統要求用戶填寫本地電話號碼登入 Telegram，我們卻發現 PopVote 存在明顯的設計漏洞，以致未能有效防止其他國家的電話登入投票。利用這個漏洞，前線科技人員成功在海外以外國電話投票。

這個漏洞令種票成本下降，減低投票結果的可信性。

電話和身份證號碼外洩風險

PopVote 在他們的聲明 [2] 和 Q&A [3] 中聲稱用戶的身分證和電話號碼會在客戶端「產生散列（hash value）」，用戶的個人資料「絕不會直接傳給 PopVote 後台系統」，「不論是 PopVote 系統還是駭客，都極難還原成有用的資料」。

我們的團隊發現，該系統在客戶端所用的散列算法（hash function）是單純的 SHA256。SHA256 本身是安全的，可是 PopVote 在使用該算法時未有留意輸入的資料本身的組合有限。我們的實驗顯示，根本無需破解散列算法，只需十分鐘就能製作所有香港身分證和電話號碼「散列」的對照表。任何人（包括 PopVote）只須持有該對照表，便能即時解讀任何「散列」所代表的個人資料。

這個問題本身並非安全漏洞，可是從 PopVote 的系統設計，以至團隊的對外宣傳當中，顯示出團隊對加密算法的特性以及資訊安全缺乏認知，使我們對 PopVote 團隊是否有能力合理地保障用戶的敏感訊息抱有疑問。

建議

基於之前所發現的嚴重保安漏洞仍未修正，我們維持之前的建議，呼籲市民立即停用該系統。

任何曾經使用該系統的市民，應了解基於之前發現的嚴重保安漏洞而引致的通訊紀錄外洩風險，並採取適當措施保護各下的資訊安全 [1]。

對於所有依賴 PopVote 普及投票結果或對結果進行分析的市民，請留意雖然該系統要求用戶填寫本地電話號碼和通過短訊確認，該系統並未能保證投票人持有或控制一個本地電話號碼，投票結果的可信性可能受影響。

對於 PopVote 普及投票，我們認為對方未有妥善考慮公眾安全，而且對結果的可信性有疑問。前線科技人員團隊、曾參與 2012 和 2014 民間投票系統設計和審核的工程師、資訊安全專家等，於系統開放的第一天起已經和他們進行多場會議，指出問題並提出協助。然而，PopVote 團隊及其負責人不但未有認真回應各項安全和設計上的漏洞，反而不斷接受傳媒訪問，以技術語言隱瞞問題，讓大眾誤以為漏洞已處理。我們對 PopVote 團隊及其負責人處理用戶安全的輕率態度感到失望。

盡責披露

我們已在發佈上述漏洞和風險前一天通知 PopVote 普及投票及 Civic Data 公民數據負責人。

參考文件

[1] 香港電腦保安事故協調中心《對 PopVote 普及投票系統資訊保安問題的建議》
https://www.hkcert.org/my_url/zh/blog/17020901
[2] 普及投票《個人資料收集聲明》https://cast.popvote.hk/#/pics
[3] 公民數據《保安疑問 Q&A》https://www.facebook.com/CivicDataHK/posts/1806538089597738

「比特幣區塊鏈大未來」(2016)書摘

2.6 比特幣錢包與iOS，比特幣存放

我們前面提過比特幣的錢包由一個自由選的亂數開始，經過EC密碼學作成一對公錀與私鑰，再將公鑰透過SHA256雜湊(Hash)一次，再用RIPEMD160 Hash一次，最後用Base58check encoding編碼出一個以1為開頭長25~34碼看來像亂碼的位址(Address)，就是比特幣錢包的位址，可以拿來收錢，一個人可以自由的產生無數的比特幣錢包位址收錢，但這麼多錢包不會不見嗎？這就是問題之一，錢包的安全性。
到比特幣的官網會有比特幣錢包的軟體介紹https://bitcoin.org/zh_TW/choose-your-wallet

到2016年Apple iOS推出第10版即iOS 10最大的變革是iMessage，iMessage 可以運行比特幣，由Circle Internet Financial Limited在iMessage API的架構下，用iMessage可以收發比特幣，這是一個很重大的變革，Apple開放比特幣在iMessage下運行會讓很多事變化，這容後述，但關鍵是，Circle其實不太算比特幣錢包，它比較像Paypal的Money Transmittle公司。且，比特幣官網上也沒有Circle的錢包。
一個比特幣的錢包由一對公私鑰所組成，你也不必然要輸入密碼才能開錢包(這和各錢包的設計有關)，我們不是提及比特幣會有一個無敵大的帳本叫區塊鏈裏面有全世界從2009年創世區塊以來的所有區塊和交易紀錄嗎？到2016年這個區塊鏈的大小約為60GB，怎麼可能在手機上運行？錢包不必要會有所有的區塊鏈，在比特幣的網路有錢包，節點，礦工，錢包只保有最輕盈的需要以SVP(Simplified Payment Verification (SPV) Nodes，結合處理未花比特幣的資料庫UTXO(Unspent Transaction Output))的型態存在即可運行交易。

比特幣在一個錢包的「餘額」主要由比特幣區塊鏈資訊記錄，一個錢包的位址能動用比特幣轉到下個錢包的核心，在於這錢包位址的「私鑰」，如果你的私鑰不見了，公鑰與位址還在，你也永遠(以目前的技術無法破解私鑰)無法使用這些比特幣，所以就錢包安全來說，私鑰被偷了，你的比特幣也不見了。你聽過新聞報導2013年有個英國人的硬碟裏有7500元比特幣(當年曾達1BTC=1000USD)，他去垃圾場找他的硬碟但怎麼找都找不到了，他的比特幣值7百50萬美金，差不多是台幣2億5千萬的比特幣就這麼不見了，技術上也永遠無法找回來，這些比特幣留在區塊鏈內不會再流動。

2016年Apple發佈新的手機與平板作業系統iOS 10，這是Apple有史以來對iOS最開放的一次，核心是iMessage，Apple使iMessage更開放，任何人都可以使用iMessage的SDK(軟體開發工具)撰寫與iMessage 相容的軟體在iMessage中運行。Circle Internet Financial Limited是第一間使比特幣可以在iMessage中傳遞的公司，讓傳遞比特幣像傳簡訊一樣簡單。Circle不是比特幣錢包，他是FINCEN規範的公司(Regulated by the U.S. Department of Treasury’s FinCEN(Financial Crimes Enforcement Network))，比較像Paypal是作匯兌的公司，即便如此，Circle在iMessage/ iOS上的運行仍是對比特幣區塊鏈一個石破天驚的事，我們在後面會提到公投，選舉與罷免，如果在iPhone上可以用區塊鏈罷免市長，那對很多人來說會是很大的壓力，這亦容後述。

開啟小鈴噹接收第一手通知

【Bingbon】
始於2018年， Bingbon是一家全球性的數字資產
衍生品交易服務平台，用戶覆蓋亞洲、歐洲、北美洲和大洋洲等37個國家和地區，
Bingbon為用戶提供簡單、易用、專業的數字資產衍生品交易產品與服務。

【Pionex 派網 】網格交易機器人 10U獎金
https://reurl.cc/Nrxbnp
【Bingbon 盈幣寶】註冊送120U贈金
https://reurl.cc/j8rQoq
【Bitopro 幣託Pro】台灣加密貨幣交易所|手續費折抵
https://reurl.cc/rx9er4
-
【以下為好康分享】
加入【Mr.Steak牛排先生】加密貨幣投資LINE社群：
https://reurl.cc/VEWW2N
臉書搜尋【Mr.Steak牛排先生】粉絲團：
https://reurl.cc/3aMK7L

#Bingbon #盈幣寶
#數位貨幣 #派網
#網格交易 #投資

#投資#賺錢#股票#K線圖#蠟燭圖
#現金流#賺錢#在家賺錢

開啟小鈴噹接收第一手通知

【Bingbon】
始於2018年， Bingbon是一家全球性的數字資產
衍生品交易服務平台，用戶覆蓋亞洲、歐洲、北美洲和大洋洲等37個國家和地區，
Bingbon為用戶提供簡單、易用、專業的數字資產衍生品交易產品與服務。

【Pionex 派網 】網格交易機器人 10U獎金
https://reurl.cc/Nrxbnp
【Bingbon 盈幣寶】註冊送120U贈金
https://reurl.cc/j8rQoq
【Bitopro 幣託Pro】台灣加密貨幣交易所|手續費折抵
https://reurl.cc/rx9er4
-
【以下為好康分享】
加入【Mr.Steak牛排先生】加密貨幣投資LINE社群：
https://reurl.cc/VEWW2N
臉書搜尋【Mr.Steak牛排先生】粉絲團：
https://reurl.cc/3aMK7L

#Bingbon #盈幣寶
#數位貨幣 #派網
#網格交易 #投資

#投資#賺錢#股票#K線圖#蠟燭圖
#現金流#賺錢#在家賺錢

開啟小鈴噹接收第一手通知

【Bingbon】
始於2018年， Bingbon是一家全球性的數字資產
衍生品交易服務平台，用戶覆蓋亞洲、歐洲、北美洲和大洋洲等37個國家和地區，
Bingbon為用戶提供簡單、易用、專業的數字資產衍生品交易產品與服務。

【Pionex 派網 】網格交易機器人 10U獎金
https://reurl.cc/Nrxbnp
【Bingbon 盈幣寶】註冊送120U贈金
https://reurl.cc/j8rQoq
【Bitopro 幣託Pro】台灣加密貨幣交易所|手續費折抵
https://reurl.cc/rx9er4
-
【以下為好康分享】
加入【Mr.Steak牛排先生】加密貨幣投資LINE社群：
https://reurl.cc/VEWW2N
臉書搜尋【Mr.Steak牛排先生】粉絲團：
https://reurl.cc/3aMK7L

#Bingbon #盈幣寶
#數位貨幣 #派網
#網格交易 #投資

#投資#賺錢#股票#K線圖#蠟燭圖
#現金流#賺錢#在家賺錢