第一:係未有得到用家同意嘅情況之下,擅自利用得到嘅OTP去登入佢哋嘅telegram account。

由於佢冇明示自己會登入用家嘅telegram account,佢咁樣做同偷account有乜嘢分別呢?

 

第二:係未有得到用家同意情況之下,擅自去開一個telegram account。

呢一個情況,就有如你畀曬所有個人資料佢之後,佢去銀行幫你一個開一個戶口。


第三:佢並非隸屬telegram,卻問你索取telegram嘅登入資料。

其實,早起網上銀行開始普及嘅時候,有好多假冒銀行嘅網站。 騙徒會先做一個同銀行近似嘅網頁,然後再註冊一個同銀行名稱相似嘅Domain Name;例如 H5BC . com . hk。然後再郵寄呢個假嘅網址畀大家,要大家登入進行驗證。

IT界為咗防止呢啲釣魚式嘅攻擊, 一直都主張要用家提高警覺;例如輸入密碼前,先核對一下網址有冇異樣。

現時Google會喺大家進入疑似釣魚式攻擊嘅網站前,出示警告嘅畫面,以防範呢一類型嘅攻擊;但係我哋仍然需要大家有一定的警惕,特別喺唔好透露密碼予第三方。

OAuth及OpenID connect等技術嘅誕生,就係為咗令大家有一個既方便又安全嘅登入方法,而同時又唔會降低大家對身份保護嘅警惕。

如今,Popvote卻倒逆施行。喺用家唔知情嘅情況之下,誘導用家輸入資料,以進行telegram嘅登入以及登記戶口嘅操作。 此舉實屬有違專業操守。

要得到人哋嘅尊重,就要先尊重人哋。技術叻唔係大曬,要成為公眾認同嘅專業人士,就應該先提高自己嘅專業操守。