-
-
[转载]港“占中公投”疑出现重大信息安全事故
-
发表于:
2015-1-15 00:50
1587
-
來源: http://bbs.tianya.cn/post-free-4606032-1.shtml
日期: 2014-09-01 09:13:00
正文:
在不少港人开始怀疑由“占领中环”行动委托香港大学民意研究计划所展开网络模拟“全民投票”真实数目的当下,有更多专业人士开始怀疑,在公投系统无法得到安全保障的情况下,港大民研仍旧选择美国中情局背景的CloudFlare公司为“占中公投”系统护航,是否存在更多不可告人的秘密。
近日,香港商人施育瑧向《香港成报》投诉,并到湾仔警署报案,报称发现其身份证号码和手提电话被人盗用来参加“占中公投”,不满个人资料被人盗用为“占中”造势,踢爆由“占领中环”发起“占中公投”中,存在身份证及手机号码被泄露的重大漏洞。
就在稍早前,一篇名为《CloudFlare防护下的破绽:寻找真实IP的几条途径》的文章,以图文并茂方式“教授”读者如何入侵在“占中公投”黑客攻防战中担任“保卫战士”的美国CloudFlare公司。结合此次不少香港民众举报身份证等 资料被盗用来公投投票等事宜,摧毁了CloudFlare公司“云安全”神话。
CloudFlare公司被IT界称之为美国中央情报局的网战先锋队,其业务一直甚具争议。据了解,该公司与中情局有业务关系,助其防御黑客入侵,但同时又替不少黑客组织甚至伊斯兰武装组织提供网络保护服务,背景相当耐人寻味。
此次香港“占中公投”信息资料被盗用事件,让不少人怀疑何以世界主流的云安全公司提供防护会如此弱不禁风?还是背后隐藏巨大阴谋?
?
早在2003年,CloudFlare公司创始人马修·普林斯(MatthewPrince)与合伙人李·霍洛维(LeeHolloway)在芝加哥大学《法学院学报》上介绍一个主要用于追踪网络欺诈和网络侵害“蜜罐开源项目”。该项目允许任何人在他们的网站中安插一段CloudFlare代码来追踪黑客和垃圾邮件发送者。起先马修·普林斯并没有考虑太多,仅仅把该项目作为一项业余爱好来运营。2005年,在维也纳的一次会议上,马修·普林斯开始吹嘘他“与政府情报和执法部门之间的大量合作”。2008年,美国国土安全部专门至电马修·普林斯,钦佩其蜜罐技术拥有宝贵数据,拿着支票本要求马修·普林斯对合作保持沉默,这即是CloudFlare成立的初衷,而在开始之时它们就选择了与美国情报机构密切合作。
在“占中公投”中,港大民研总监锺庭耀对外发布“个人资料收集声明”所有收集的个人资料只用作是次活动的身分验证、防止重复投票。使用CloudFlare公司云安全防护,将所有以电子方式收集的个人数据会于传送时使用SSL进行加密 ,并会以不能还原的散列代码形式记录于服务器,以确保有关数据实际上无法被人破解和还原。
英国致力于互联网在线安全方面Netcraft公司披露“使用CloudFlare的SSL的网络钓鱼者”的报告显示,针对CloudFlare所提供SSL及类似安全服务,CloudFlare所有证书都有一个共同的名字和相同格式例“ssl2796.CloudFlare.com” ,它们都是由一家名为GlobalSign(成立于1996年,是一家牛X的CA中心和SSL数字证书提供商)的数字证书提供商所颁发的。证书名称中的“ssl2796”是CloudFlare所使用的一个追踪ID;在目前能找到的CloudFlare使用证书的36,677个域名中,追踪ID的范围在2002到7584之间。这些CloudFlare的证书只加密浏览器和CloudFlare之间的流量,除非Web服务器所有者拥有自己的证书安装在他的机器上,否则,真实的Web服务器和CloudFlare之间的流量仍然是未加密的。几乎所有通过CloudFlare访问https域名的人都不知道实际上仅有一半的路线是加密的。如果看到自己屏幕上的挂锁“ssl图示”时,你觉得一切都是安全的。这就是为什么网络钓鱼者喜欢CloudFlare的SSL。众多隐藏在CloudFlare背后,登记成隐私服务的域名很容易被网络犯罪者所利用。
一年前,斯诺登亦踢爆美国对香港实施网络监听丑闻,德国企业开始禁用美国云计算服务,俄罗斯亦封杀CloudFlare公司。
在“占中公投”正式开始投票前几日,港大民研自爆遭黑客攻击网站,戴耀廷亦曾亲口承认收到约10宗身份证疑被盗用的个案。在“占中公投”系统无法得到安全保障的情况下,港大民研依然选择美国中情局背景的CloudFlare公司
为“占中公投”系统护航。有不少熟知其中利害关系的人士对此指责称,这实际上是出卖几十万香港人的个人私隐资料,港大民研与CloudFlare难辞其咎。香港市民不要被人卖了还帮人数钱。
个人资料隐私的保护属于经济发达的地区或国家的基本人权之一。一个人的身份信息被窃取,被冒用,就可能出现个人信息的多次“失窃”,带来各方面的损失。对于此次公投带来的质疑,已有越来越多的港人呼吁,香港个人资料
私隐专员公署及香港警方应公开调查港大民研与CloudFlare有否触犯“香港法例”,涉嫌窃取香港市民个人隐私,以维护“香港法例”第486章个人资料(私隐)条例赋予香港市民的基本人权。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
