V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lzhw
V2EX  ›  支付宝

支付宝用户们注意了,现在只要有人知道了你绑定支付宝的手机号,(不需要转账)就大概率能拿到你的真实姓名

  •  6
     
  •   lzhw · 2020-09-15 13:28:46 +08:00 · 24357 次点击
    这是一个创建于 1290 天前的主题,其中的信息可能已经有所发展或是发生改变。

    按理说支付宝在转账时只显示对方姓名的最后一个字,即使陌生人通过手机号搜索到自己的支付宝也很难获取自己的完整姓名,而且支付宝还在设置里提供了“通过手机号找到我”隐私开关可供有需求的用户关闭,彻底防止被陌生人用手机号搜索到自己的支付宝,但实际上支付宝这两个保护隐私的贴心设置在不久前已经能被网商银行的转账功能绕过而形同虚设了。

    现在即使你没开通网商银行,并在支付宝里关闭了“通过手机号找到我”隐私开关,其他支付宝用户都无法通过手机号找到你,但网商银行用户依然能利用转账到支付宝的功能通过输入你的手机号强行找到你的支付宝,无视你支付宝已关闭手机号查找的隐私设置。

    而且更关键的是其他人在网商银行的转账页面能直接看到你除姓以外的全名(*某某),不像支付宝和微信只能看到最后一个字(**某)。由于转账页面还提供了补全姓氏验证的功能,而前十大姓(王李张刘陈杨赵黄周吴)的人口就占了全国人口的 44%,所以即使不知道一个人的姓氏,尝试校验 10 次就有 44%的概率得到 TA 的全名,再往后多试几次概率更大。这样任何一个人都能很容易利用姓名校验功能输入常见姓氏撞出你的真实姓名,并不需要真的转账给你,零成本还无风险,无疑是对个人隐私的很大威胁。而你面对这种人肉搜索又没有任何办法(甚至你自己根本都不会知道已经被人 get 了机主真实姓名)~

    上周我发了一个问题报告在全球工单节点 /t/705774,直到现在还没有得到任何阿里的人员的回应,更不用说修复了,觉得有必要新开一个帖提醒一下大家。提醒大家不要再相信关闭支付宝“通过手机号找到我”隐私开关就谁也没法用手机号找到你支付宝(网商银行用户照样能找),不要再相信大家转账支付宝前都只能看到对方姓名最后一个字(网商银行用户就是能看到两个字)。

    由于我们用户没有任何措施来预防此类人肉搜索,只能希望网商银行能尽早尊重并同步支付宝的隐私设置(转账页只显示姓名的最后一个字,以及用户关闭了手机号查找那就是不能用手机号找)。不过我从另一个角度希望能给比较看重隐私的 V 友们一个建议(感谢 @lvybupt @imn1),建议把支付宝绑定的手机号改成使用频率低的专用号码,否则如果你用支付宝绑定的手机号同时注册了一堆网站,只要任一网站泄露了你的手机号(比如前段时间刷帖看到的微博泄露 5.38 亿用户名手机号关联数据库)几乎就等于同时泄露了你的真实姓名,随之而来的怕是更加精准的推销骚扰钓鱼诈骗以及更加容易的人肉搜索网络暴力了吧~

    第 1 条附言  ·  2020-09-15 14:18:34 +08:00
    之前在工单节点的帖子,有兴趣的 V 友可以点进去看看之前的讨论:
    https://www.v2ex.com/t/705774

    还有,我想再在这里解释一下,即使现在身份信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望网商银行能重视并解决这个问题~
    第 2 条附言  ·  2020-09-15 19:07:32 +08:00

    @Keng #37:

    京东 找回密码的时候,选择 「修改关联手机号」,再选择 「使用 关联新银行卡」,也是可以看到全名的(*某某)。

    要吐了要吐了,真的防不胜防,实在太恶心了

    有京东的V友能帮忙也反馈一下吗?不过找回一个密码,又不是转账,有必要显示号主的名字吗?如果真的是自己在找回,也没必要显示,如果不是自己,实名信息不就相当于泄露了吗?哪怕只显示最后一个字也好,显示全名简直了。。

    96 条回复    2020-09-25 22:53:51 +08:00
    672795574
        1
    672795574  
       2020-09-15 13:39:56 +08:00
    的确是个漏洞吧,但是知道手机号的情况下,我个人感觉知道姓名聊胜于无
    allenby
        2
    allenby  
       2020-09-15 13:41:22 +08:00 via Android
    有手机号,充个话费就知道名字了
    giter
        3
    giter  
       2020-09-15 13:42:26 +08:00 via iPhone
    所以 GV 号的需求就来了
    thonatos
        4
    thonatos  
       2020-09-15 13:45:44 +08:00   ❤️ 2
    感谢提醒,已进行内部反馈,等候相关同学核实中。
    Leonard
        5
    Leonard  
       2020-09-15 13:46:04 +08:00
    我支付宝绑的 GV 号,能拿到我的真实姓名吗
    a0000
        6
    a0000  
       2020-09-15 13:49:06 +08:00 via Android   ❤️ 2
    @672795574 被骗子利用就麻烦了,骗子可以随便用手机号去测名字,再打电话:喂,是张三吗?吧啦吧啦
    crokily
        7
    crokily  
       2020-09-15 13:53:42 +08:00
    昨天去采耳,在美团上付款,付完以后美团的订单还挺正常的,就是显示店名。
    但是在银行 APP 里查收支明细,“美团点评-王 X”明明白白地把真名显示出来了……
    redtea
        8
    redtea  
       2020-09-15 13:56:25 +08:00 via iPhone   ❤️ 1
    要是绑了电子邮箱,会显示前几位,这样如果是姓名拼音就危险了。
    kangsheng9527
        9
    kangsheng9527  
       2020-09-15 14:01:54 +08:00
    可以设置不能通过手机号查找
    Nicoco
        10
    Nicoco  
       2020-09-15 14:05:11 +08:00
    有手机号,充个话费就知道名字了
    tiantangtianma
        11
    tiantangtianma  
       2020-09-15 14:09:41 +08:00 via iPhone
    @Nicoco 怎么可能呢
    lzhw
        12
    lzhw  
    OP
       2020-09-15 14:11:44 +08:00   ❤️ 2
    @672795574 也有很多情况是只想留手机号并不想留真实姓名的啊,比如各种国内网站的注册,因为 SMZ 的要求,我提交了我的手机号,如果真犯了事有关部门可以来抓我,但是并不意味着没事的时候我就希望网站知道我的真实姓名,给我发各种亲爱的 XXX 广告骚扰,如果网站再把我姓名-手机号信息卖给骗子的话我肯定更是烦不胜烦。

    而且很多时候网站的数据安全做的不到位,把我的手机号泄露了出去,这种情况下别人未经授权知道了我的手机号,本来已经很恶心了,如果再知道姓名那就更恶心了。请允许我再用微博举个例子,除了公众人物大多数用户在微博上都是用昵称交流,注册也都是只留了手机号并没有填写真实姓名,之前那波 5.38 亿用户名-手机号数据库泄露也不涉及姓名信息。但是现在的话如果我哪天发了一条微博,有人看着不爽了,在泄露的数据库里通过用户名查到了我绑定的手机号,然后用网商银行转支付宝的这个漏洞撞出我的真实姓名,在微博上指名道姓的挂我骂我,你觉得我会是啥感觉?
    lzhw
        13
    lzhw  
    OP
       2020-09-15 14:14:21 +08:00
    @allenby
    @Nicoco
    现在已经不行了,都是打了码的
    而且这种获取名字的方式也类似于通过转账然后看银行流水,被查的用户是有感知的,并不像网商银行这种完全可以在对方不知情的情况下获取对方姓名
    Johnny168
        14
    Johnny168  
       2020-09-15 14:18:44 +08:00   ❤️ 1
    搞半天你以为手机实名是来搞笑的吗
    672795574
        15
    672795574  
       2020-09-15 14:19:08 +08:00
    @lzhw 确实。 不过对我来说手机号和名字,骚扰电话知道手机号和都知道没啥区别。
    另外还有个更骚的,房产中介通过车牌号就能查到我手机和名字。 理论上个人也可能有渠道。
    lzhw
        16
    lzhw  
    OP
       2020-09-15 14:22:32 +08:00
    @thonatos 非常感谢!
    lzhw
        17
    lzhw  
    OP
       2020-09-15 14:23:36 +08:00
    @redtea 是啊,转账页面会显示邮箱的前三位,如果包含姓的拼音,那基本上一猜一个准😭太可怕
    ifxo
        18
    ifxo  
       2020-09-15 14:25:31 +08:00
    快递早就把你卖了,支付宝这个都不算啥事
    lzhw
        19
    lzhw  
    OP
       2020-09-15 14:26:13 +08:00
    @Leonard 不好意思,没条件测试通过 GV 号的搜索,你可以请身边有网商银行账户的朋友测试一下,让他在转账支付宝的页面输入你的美国号码看看能不能定位到你的支付宝😂
    lzhw
        20
    lzhw  
    OP
       2020-09-15 14:30:58 +08:00   ❤️ 1
    @crokily 如果有时间的话可以看看我在 /t/705774 里 #18 的帖子,描述的情况应该和你的比较像😂

    简单说,通过转账来获取姓名的方式,一来用户会察觉,二来用户可以通过相关隐私设置来预防此类人肉攻击
    对应起来说,网商银行这块比较麻烦的就是:
    第一门槛低无成本不涉及金钱流动,用户被陌生人碰撞出了姓名也是毫无察觉
    第二无论用户是不是设置了无法被查找的隐私开关,只要有手机号或邮箱都可以照查不误,用户没有预防的措施

    所以我觉得网商银行的这个强制查找支付宝用户获取姓名的问题还是要比银行卡付款记录显示姓名的问题更容易被滥用也更值得注意😂
    当然,哪怕银行卡付款记录显示姓名的问题确实更严重,我们也不希望破罐子破摔,啥都不 care 了,彻底放弃对隐私信息安全的追求,我觉得该说还得说,该反馈还得反馈嘛(参考我的第一条附言)
    lzhw
        21
    lzhw  
    OP
       2020-09-15 14:35:03 +08:00
    @kangsheng9527 不好意思,现在的问题就是即使你在支付宝里关闭了“通过手机号找到我”隐私开关,其他支付宝用户都无法通过手机号找到你,但网商银行用户依然能利用转账到支付宝的功能通过输入你的手机号强行找到你的支付宝,也就是说这个设置已经形同虚设了😭
    lzhw
        22
    lzhw  
    OP
       2020-09-15 14:40:14 +08:00   ❤️ 1
    @Johnny168 请看我#12 的帖子

    手机(对运营商 /有关部门)实名和任何人都能通过手机找到我的实名是两码事
    lzhw
        23
    lzhw  
    OP
       2020-09-15 14:40:57 +08:00   ❤️ 8
    @ifxo 即使现在身份信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望网商银行能重视并解决这个问题~
    Leonard
        24
    Leonard  
       2020-09-15 14:42:14 +08:00
    @ifxo 快递可以写假名
    lzhw
        25
    lzhw  
    OP
       2020-09-15 14:46:56 +08:00
    @672795574 这个确实很恶心。。希望隐私保护大环境能越来越好吧

    不过知道了姓名就能更加精准的推销骚扰钓鱼诈骗以及更加容易的人肉搜索网络暴力了,我觉得还是不要破罐子破摔的好,能争取还是尽量争取吧😭

    就像我之前说的,即使现在身份信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望网商银行能重视并解决这个问题~
    monkey110
        26
    monkey110  
       2020-09-15 14:53:07 +08:00 via Android
    没影响啊 我支付宝头像就是个人真名签名 基本只有认识的人才加 普通给我联系 我一听不认识直接顺手拉黑 银行移动联通类客服拉黑的也不少 至今也没出过事
    lzhw
        27
    lzhw  
    OP
       2020-09-15 15:04:24 +08:00
    @Leonard 想冒昧问一下,GV 号本身是不需要实名的,但是你这样绑定在了实名的支付宝上,不就相当于变相的实名了你的 GV 号了吗?这种“实名”了之后的 GV 号用在其他地方不会不方便吗?
    kidult
        28
    kidult  
       2020-09-15 15:10:47 +08:00
    想多了,现在递快递都要实名+身份证了
    nicevar
        29
    nicevar  
       2020-09-15 15:16:36 +08:00
    这时候名字就很重要了,我很多地方都用真实名字,毕竟我的名字同名全国能排前二十,同名的有二十多万。。。
    别说支付宝了,买个车险分分钟就泄漏手机号+名字
    lzhw
        30
    lzhw  
    OP
       2020-09-15 15:18:46 +08:00
    @redtea 另外提一句,如果支付宝绑了电子邮箱,在设置里关闭“通过邮箱找到我”隐私开关也是没有用的,其他支付宝用户虽然无法再通过邮箱找到自己,但是网商银行用户依然可以直接输入邮箱找到,显示自己信息的界面和手机号搜索到的一样😭

    而且还有一个问题,有部分 V 友喜欢用自己的个人域名邮箱来绑定账号,但是转账页面只会把邮箱用户名(前缀)从第四位之后隐藏,邮箱的域名(后缀)是全部显示的,而一般使用个人域名邮箱时,在用户名(前缀)方面普遍设置的也比较简单,比如 i 、me 、mail 、admin 、contact 什么的,从第四位之后打码就和没打一样,完整的邮箱名相当于都暴露了。。
    lzhw
        31
    lzhw  
    OP
       2020-09-15 15:22:59 +08:00   ❤️ 1
    @kidult
    @nicevar
    即使现在身份信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望网商银行能重视并解决这个问题~真的不想破罐子破摔啊😭
    zhoushiya
        32
    zhoushiya  
       2020-09-15 15:25:50 +08:00
    nicevar
        33
    nicevar  
       2020-09-15 15:26:30 +08:00
    @lzhw 不是破罐子破摔啊,目前的环境没办法,到处都是泄漏,收寄快递、办会员卡、疫情管控信息录入等等,根本是防不胜防,所以我都是用多个手机号,分离需求
    lzhw
        34
    lzhw  
    OP
       2020-09-15 15:32:46 +08:00
    @nicevar 唉,确实,针对网商银行转支付宝的这个姓名碰撞漏洞,在厂商修复之前我觉得我们自己能做的也无非就是多个手机号分离需求了😭说起来我名字有些偏生僻,现在还真是羡慕你这“泯然众人”的名字嗨😭
    Leonard
        35
    Leonard  
       2020-09-15 15:32:57 +08:00
    @lzhw 你说的有一定道理,但对我来说 GV 号最大的作用就是杜绝了绝大多数的垃圾短信和骚扰电话,而且不影响我换手机号。现在的时代不存在绝对的匿名,所谓实名不实名,也只是增加获取个人信息的门槛而已,通过支付宝实名来确认 GV 所属人信息这个门槛已经能过滤绝大多数隐私泄露的情况了。
    lzhw
        36
    lzhw  
    OP
       2020-09-15 15:37:46 +08:00
    @thonatos 多说一句请恕我冒昧,我之前在工单节点发布的帖子对此讨论的更详细,希望你能一并反馈给内部同学
    https://www.v2ex.com/t/705774
    再次感谢!
    Keng
        37
    Keng  
       2020-09-15 15:40:18 +08:00   ❤️ 4
    京东 找回密码的时候,选择 「修改关联手机号」,再选择 「使用 关联新银行卡」,也是可以看到全名的(*某某)。
    lzhw
        38
    lzhw  
    OP
       2020-09-15 15:51:03 +08:00
    @Leonard 明白了,谢谢你的解释

    但是还想提醒一下,针对本帖讨论的这个漏洞,关闭了支付宝的“通过手机号找到我”隐私开关,网商银行搜索美国号码也是很可能能搜的到对应的支付宝的,如果你的姓氏还是较为常见的那种,你所说的“通过支付宝实名来确认 GV 属人信息这个门槛”就很可能低到了是个人都可以利用的程度了😭建议你有条件的话还是测试一下确认到底是什么情况为好

    不过我也反应过来了,没人规定一个人只能用一个 GV 号,完全可以多个 GV 分级使用,“实名”了一个 GV 对其他的也没啥影响,该咋用还咋用啊。。
    imn1
        39
    imn1  
       2020-09-15 15:54:02 +08:00
    @Keng #37
    哇咔咔咔……苦笑
    这世界真是防不胜防……不过京东我好像没实名(指的是仅有手机号,没传身份证)
    lzhw
        40
    lzhw  
    OP
       2020-09-15 15:59:12 +08:00
    @Keng 我去,这么恶心,简直了
    nmdx
        41
    nmdx  
       2020-09-15 16:11:25 +08:00 via Android
    首先,支付宝能看到后两个字
    其次,试姓是有次数限制的。。当然你有多个号的话
    lzhw
        42
    lzhw  
    OP
       2020-09-15 16:22:38 +08:00
    @nmdx 支付宝现在转账是只会显示对方姓名的最后一个字的😂
    nmdx
        43
    nmdx  
       2020-09-15 16:24:49 +08:00 via Android
    @lzhw 是转账啊 难不成我版本旧了? 微信最近有次转账倒是记得是一个字的
    zhuweiyou
        44
    zhuweiyou  
       2020-09-15 16:42:36 +08:00
    支付宝会显示后面的字,然后你选择银行卡转账,付 0.01 元,银行短信会显示全名.(我的是招商银行,不知道别的银行是不是也显示)
    menghan
        45
    menghan  
       2020-09-15 17:02:52 +08:00
    根据 lz id 和 lz 的内容,我简单社工一下,lz 应该姓李 or 刘
    littiefish
        46
    littiefish  
       2020-09-15 17:36:32 +08:00 via iPhone
    关闭手机搜索
    lzhw
        47
    lzhw  
    OP
       2020-09-15 17:47:00 +08:00
    @nmdx 那你可以再看一下,现在支付宝尝试给他人转账确实是只显示对方姓名的最后一个字的(**某),和微信一样
    lzhw
        48
    lzhw  
    OP
       2020-09-15 17:48:35 +08:00
    @zhuweiyou 如果有时间的话可以看看我在 /t/705774 里 #18 的帖子,描述的情况应该就是你说的这个😂

    简单说,通过转账来获取姓名的方式,一来用户会察觉,二来用户可以通过相关隐私设置来预防此类人肉攻击
    对应起来说,网商银行这块比较麻烦的就是:
    第一门槛低无成本不涉及金钱流动,用户被陌生人碰撞出了姓名也是毫无察觉
    第二无论用户是不是设置了无法被查找的隐私开关,只要有手机号或邮箱都可以照查不误,用户没有预防的措施

    所以我觉得网商银行的这个强制查找支付宝用户获取姓名的问题还是要比银行卡付款记录显示姓名的问题更容易被滥用也更值得注意😂
    当然,哪怕银行卡付款记录显示姓名的问题确实更严重,我们也不希望破罐子破摔,啥都不 care 了,彻底放弃对隐私信息安全的追求,我觉得该说还得说,该反馈还得反馈嘛(参考我的第一条附言)
    lzhw
        49
    lzhw  
    OP
       2020-09-15 17:51:38 +08:00
    @menghan 还是姓太常见太好猜了,所以就不是大概率能被拿到真实姓名了,是肯定能被拿到,很慌啊好吧😭
    lzhw
        50
    lzhw  
    OP
       2020-09-15 17:53:15 +08:00
    @littiefish 不好意思,现在的问题就是即使你在支付宝里关闭了“通过手机号找到我”隐私开关,其他支付宝用户都无法通过手机号找到你,但网商银行用户依然能利用转账到支付宝的功能通过输入你的手机号强行找到你的支付宝并看到(*某某)这样的名字,也就是说“关闭手机搜索”这个设置已经形同虚设了😭
    iphoneXr
        51
    iphoneXr  
       2020-09-15 17:56:20 +08:00 via iPhone
    我手机设置为只接听通讯录电话了
    后面就不在乎电话骚扰了😂
    还有减少快递外卖的功效哦
    lzhw
        52
    lzhw  
    OP
       2020-09-15 18:04:04 +08:00   ❤️ 1
    @iphoneXr 现在也不只是担心骚扰诈骗啊,被人肉网络暴力也是很吓人的😭

    假如我发了一条微博,有人看着不爽了,从之前泄露的微博手机号数据库里通过用户名查到了我绑定的手机号,就能用网商银行转支付宝的这个漏洞撞出我的真实姓名,在微博上指名道姓的挂我骂我,可谓防不胜防啊。。现在除了专号专用也没其他办法了
    ncepuzs
        53
    ncepuzs  
       2020-09-15 18:24:35 +08:00   ❤️ 2
    经我测试,确实,通过支付宝转账名字中间字是不显示的,通过网商银行转对方支付宝除了姓氏其他全给你显了。草……
    lzhw
        54
    lzhw  
    OP
       2020-09-15 19:11:08 +08:00
    @ncepuzs 嗯啊,而且支付宝关闭手机号搜索也没用,网商银行照样能通过手机号找到绑定的支付宝和真实名字
    cccRaim
        55
    cccRaim  
       2020-09-15 19:15:03 +08:00
    拿到真实姓名后会有什么危险性呢?
    iphoneXr
        56
    iphoneXr  
       2020-09-15 19:24:28 +08:00 via iPhone
    @lzhw 所以我们需要双卡手机和副卡,主号就保卡套餐好了😂
    lzhw
        57
    lzhw  
    OP
       2020-09-15 19:43:49 +08:00   ❤️ 1
    @cccRaim 可以看下我#12 的帖子,简而言之推销骚扰钓鱼诈骗更加精准,人肉搜索网络暴力更加容易,尤其是后者,很多网站我们只留了手机号,本来问题不大,但如果真实姓名也被人拿到了,能干的事就比较恶心了

    原谅我又拿微博举例子:假如我发了一条微博,有人看着不爽了,从之前泄露的微博 5.38 亿用户名-手机号数据库里通过我用户名查到了我绑定的手机号,就能用网商银行转支付宝的这个漏洞撞出我的真实姓名,在微博上指名道姓的挂我骂我,可谓防不胜防啊。。
    lzhw
        58
    lzhw  
    OP
       2020-09-15 19:47:59 +08:00
    @iphoneXr 唉,确实是这样的,遇到现在这样的问题我们自己能做的真的不多,无非就是多个手机号分离需求了😭
    TypeError
        59
    TypeError  
       2020-09-15 19:48:59 +08:00
    美国很多虚拟号 用好了可以艹它丫的实名制
    lzhw
        60
    lzhw  
    OP
       2020-09-15 20:21:06 +08:00
    @lvybupt 冒昧 at 请原谅,请问你对#37 @Keng 说的京东密码找回过程暴露用户真实名字的问题有什么看法吗😭

    /t/707302 我新开了一个帖子,也欢迎在那边谈谈看法
    ke1vin
        61
    ke1vin  
       2020-09-15 20:25:33 +08:00
    那么网商银行为什么要显示名呢。。。?
    vfxx
        62
    vfxx  
       2020-09-15 20:30:12 +08:00   ❤️ 2
    妈的,我通过 12321 举报骚扰电话,没想到被举报人能查到,被举报的那个人找过来了,拿着电话录音问我为什么投诉,让我撤销。还给了支付宝输入名字的截图,我把手机号隐藏了,没想到防不胜防!
    zhleonix
        63
    zhleonix  
       2020-09-15 20:36:15 +08:00
    这个需要到银监会去举报,一报一个准,其他渠道管不了。
    lzhw
        64
    lzhw  
    OP
       2020-09-15 20:39:53 +08:00   ❤️ 2
    @ke1vin 就是说啊

    之前有人解释说这是一个 feature 怕用户转错帐,但要我说支付宝和微信显示姓名最后一个字的“feature”都多少年了,这两家论体量论流水都比网商银行大多了,他们都觉得只显示一个字就足以验证对方身份避免转错帐,没道理网商银行就要显示全名。。所以我认为“怕用户转错帐所以刻意显示全名”这个理由站不住脚
    lzhw
        65
    lzhw  
    OP
       2020-09-15 20:45:49 +08:00   ❤️ 1
    @vfxx 唉,就像我#52 说的,现在最怕的就是得罪人被人人肉了

    推销诈骗还有其他防范措施,手机号泄露给别有用心的人,他再人肉我姓名,一言不合就给我来个网络暴力,真的没法防😭
    lzhw
        66
    lzhw  
    OP
       2020-09-15 21:28:22 +08:00
    关于#37 和附言中提到的京东密码找回过程暴露用户真实名字的问题,我新开了一个帖子,有兴趣的 V 友可以去看看:
    https://www.v2ex.com/t/707302
    lzhw
        67
    lzhw  
    OP
       2020-09-15 22:50:49 +08:00
    还是希望支付宝和京东的两个漏洞都能早日得到解决吧😭
    kerro1990
        68
    kerro1990  
       2020-09-15 23:21:26 +08:00
    @lzhw 实名是为了精准诈骗,诈骗更猖獗了
    loading
        69
    loading  
       2020-09-15 23:27:17 +08:00 via Android   ❤️ 1
    《真名实姓》,这是一本有趣的小说。
    lzhw
        70
    lzhw  
    OP
       2020-09-15 23:46:35 +08:00
    @kerro1990 😭
    hahaandyou001
        71
    hahaandyou001  
       2020-09-16 00:32:27 +08:00 via Android
    国内平台早就没隐私了,不被骗钱就不错了
    ShotaconXD
        72
    ShotaconXD  
       2020-09-16 09:31:29 +08:00
    我还是没 get 到知道真名会有啥用途...
    我又不是恶魔, 被知道真名就会被奴役...
    至于骗局应用, 仁者见仁智者见智吧....
    lzhw
        73
    lzhw  
    OP
       2020-09-16 09:40:25 +08:00
    @ShotaconXD 更精准的推销骚扰钓鱼诈骗就不说了,我最担心的可能是#57 里说的那样,在网上不经意间得罪人,遭遇到人肉搜索和网络暴力。。很多网站我们只留了手机号,本来问题不大,但如果真实姓名也被人拿到了,能干的事就比较恶心了

    原谅我又拿微博举例子:假如我发了一条微博,有人看着不爽了,从之前泄露的微博 5.38 亿用户名-手机号数据库里通过我用户名查到了我绑定的手机号,就能用我们讨论的这几个漏洞撞出我的真实姓名,在微博上指名道姓的挂我骂我。。像这种“一言不合就给我来个网络暴力”可谓防不胜防啊😭
    N0phone
        74
    N0phone  
       2020-09-16 10:00:02 +08:00
    大数据时代你很难不留下个人痕迹啊。。
    lzhw
        75
    lzhw  
    OP
       2020-09-16 10:10:24 +08:00   ❤️ 1
    @N0phone 所以才希望有类似 GDPR 的隐私保护法规来约束网站的行为啊,“最初之约定”不能滥用
    我的数据我知道你用在什么地方,我同意了,你不能超出( thx @imn1
    就像我把姓名身份信息授权给支付宝和京东,是金融合规性的需要,不是让他们现在搞的随便一个人都能通过手机号查到我的姓名😭
    acooler15
        76
    acooler15  
       2020-09-16 10:15:53 +08:00
    现在还有些充值接口,会返回手机号的机主与余额
    ruixue
        77
    ruixue  
       2020-09-16 10:25:22 +08:00
    @acooler15 希望隐私保护环境能越来越好吧,几年前这种情况更多,现在基本上都打了码,都是在不断进步😭
    lzhw
        78
    lzhw  
    OP
       2020-09-16 10:34:09 +08:00
    @acooler15 就像楼上说的,现在基本上都是打了码的

    而且这种获取名字的方式也类似于通过转账然后看银行流水,被查的用户是有感知的,并不像网商银行这种完全可以在对方不知情的情况下获取对方姓名,所以我感觉还是网商银行的这个漏洞更容易被滥用也更值得注意一些
    ShotaconXD
        79
    ShotaconXD  
       2020-09-16 11:13:47 +08:00
    @lzhw #73 还好我基本上与世无争...
    ruixue
        80
    ruixue  
       2020-09-16 11:27:17 +08:00   ❤️ 2
    翻完两个帖子真的感到深深的不适,哪是说淡定就能淡定的

    正如 @taobibi 所说,“虽然我们在保护个人信息方面的力量很渺小,各种隐私泄露满天飞 ,但不意味着我们裸奔就是对的”

    有京东和支付宝的员工吗?请和你们公司反映一下吧
    N0phone
        81
    N0phone  
       2020-09-16 11:41:58 +08:00
    @lzhw 这样也好, 虽然我现在都是用三件套加匿名邮箱解决
    lzhw
        82
    lzhw  
    OP
       2020-09-16 12:11:08 +08:00
    @ShotaconXD 就算想说话也变得不敢说话了😂
    flowercoder
        83
    flowercoder  
       2020-09-16 13:00:17 +08:00
    早就知道了啊,所以支付宝要把手机转账关了
    lzhw
        84
    lzhw  
    OP
       2020-09-16 13:06:34 +08:00
    @flowercoder 不好意思,现在的问题就是即使你在支付宝里关闭了“通过手机号找到我”隐私开关,其他支付宝用户都无法通过手机号找到你并转账,但网商银行用户依然能利用转账到支付宝的功能通过输入你的手机号强行找到你的支付宝并看到你的真实名字(*某某),也就是说支付宝的这个设置对网商银行无效,已经形同虚设了😭

    你可以请身边开通网商银行的朋友试着给你转账,就更清楚我说的意思了
    lzhw
        85
    lzhw  
    OP
       2020-09-16 16:49:14 +08:00
    @hahaandyou001 唉,现在真的是防不胜防🤮
    bianqurenfm
        86
    bianqurenfm  
       2020-09-16 17:37:32 +08:00
    你投简历,点外卖,骑个共享单车的时候,手机号码信息早被无声无息的出卖了,在任何 app 必须手机号注册的情况下无论该公司安全实力或其善恶如何...😂
    lzhw
        87
    lzhw  
    OP
       2020-09-16 17:48:39 +08:00
    @bianqurenfm 😭😭😭

    即使现在信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,我觉得还是不要直接弃疗啊,能争取一点算一点吧,所谓的有一分热,发一分光,如果什么都不做,那才是最绝望的啊😭

    不管怎么说,支付宝和京东的这两个隐私安全漏洞如果都能得到解决,那么世界上的漏洞不就少了两个吗
    bianqurenfm
        88
    bianqurenfm  
       2020-09-16 18:15:22 +08:00   ❤️ 1
    @lzhw 其实某种程度上还是三大运营商的不作为,很多事情其实是他们也可以推动去做的,尤其是手机实名制源头都在他们那里,但一看到他们自家的 app 和套餐做得那么...就知道不能期待他们:(
    thonatos
        89
    thonatos  
       2020-09-16 18:21:05 +08:00   ❤️ 1
    @lzhw 收到,同步一下进展,相关安全同学已经在跟进处理了。
    lzhw
        90
    lzhw  
    OP
       2020-09-16 18:42:10 +08:00
    @thonatos 谢谢!
    fbi007130
        91
    fbi007130  
       2020-09-17 15:17:31 +08:00
    貌似现在不能重现了?
    lzhw
        92
    lzhw  
    OP
       2020-09-17 15:49:58 +08:00   ❤️ 1
    @fbi007130 谢谢提醒,测试了一下,现在支付宝关闭“通过手机号找到我”隐私开关后,网商银行搜索手机号也找不到对应的支付宝了。不过如果支付宝打开手机查找开关,网商银行能搜索手机号找到对应支付宝的话,转账页面显示的对方姓名还是两个字的全名,只隐藏了姓,依然很容易利用姓名校验功能输入常见姓氏撞出对方的完整姓名

    也就是说希望解决的这两个问题(转账页只显示姓名的最后一个字,以及用户关闭了手机号查找那就是不能用手机号找)现在阿里解决了后面这个,前面这个我们还是希望网商银行那边能继续跟进一下,和支付宝做到同步,转账时只显示对方姓名的最后一个字~
    lzhw
        93
    lzhw  
    OP
       2020-09-17 16:21:53 +08:00
    @thonatos 非常感谢你的帮助,现在希望解决的两个问题(转账页只显示姓名的最后一个字,以及用户关闭了手机号查找那就是不能用手机号找)的后面这个已经解决了,支付宝关闭手机查找后网商银行也不能查找了,很赞!谢谢相关安全同学的努力!

    不过前面这个问题还是想请求你再帮忙反馈一下,希望网商银行能继续跟进,和支付宝做到同步,转账页只显示对方姓名的最后一个字(**某)~好让用户为了方便而打开手机查找功能时更加没有顾虑

    现在网商银行转账支付宝页面显示的对方姓名还是两个字的全名(*某某),只隐藏了姓,依然很容易利用姓名校验功能输入常见姓氏撞出对方的完整姓名😭这么做也还是让支付宝转账时特意只显示姓名最后一个字保护用户隐私的贴心设置显得尴尬而没有意义唉。。而且我们支付宝用户也不希望看到网商银行用户有比我们支付宝用户更高的信息查看特权,在我们支付宝用户都只能看到对方姓名最后一个字时网商银行用户就是能看到两个字😭

    #37 提到的京东找回密码可看到用户全名(*某某)的问题,昨天京东已经做了修复,现在也只能看到最后一个字(**某)了。相信网商银行也能早日解决这个转账页直接显示全名的问题,不要半途而废啊😭

    再次感谢!
    lzhw
        94
    lzhw  
    OP
       2020-09-23 11:07:14 +08:00   ❤️ 1
    @thonatos 谢谢!今天发现网商银行转账支付宝的时候需要同时输入对方姓名和账号了,谢谢相关安全同学的努力!谢谢!

    不过我试了下发现了一些小小的不足,请允许我在这里描述一下,希望你能帮忙反馈给相关同学,看能再稍稍改进一下吗。。非常感谢

    在转账界面输入一个不存在的支付宝账号,会弹出提示“无对应支付宝账户”。输入一个关闭手机号查找隐私开关的支付宝账号,如果账户名称(姓名)输的不对,会提示“户名账号不匹配”,但如果账户名称(姓名)输对了,会提示“账号不存在,或对方关闭了隐私开关”。

    但实际上如果账号真的不存在,那么只会提示“无对应支付宝账户”,也就是说提示“户名账号不匹配”时,至少是存在对应的支付宝账号的,哪怕对应账号已经关闭了隐私开关,无非是姓名输的不对罢了;提示“账号不存在,或对方关闭了隐私开关”时,那也是存在对应的支付宝账号的,而且输入的姓名和手机号也肯定正确无误,只能说明这个人关闭了他支付宝账号的隐私开关,不可能是账号不存在。

    能看得出这个地方的第一个条件判断是判断账号是否存在,第二个条件判断是判断户名账号是否匹配,第三个条件判断才是判断对方有无关闭隐私开关。我觉得把第三个条件判断移到最前面和第一个条件判断放在一起进行判断最好了,输入账号的时候如果账号不存在或者对方关闭了隐私开关,那么直接弹出提示“账号不存在,或对方关闭了隐私开关”就好,否则的话再进行户名和账号的匹配判断。这样应该比最后才判断隐私开关是否关闭要更合适一些。

    最后还想再冒昧问一下,目前这样改了,以后还会不会修改姓名只显示一个字了?我是说通过点击支付宝联系人直接进入转账页面,在转账页面还是显示的两个字的全名,还是很容易能试出支付宝联系人的真实姓名。(支付宝里如果不向好友公开真实姓名,好友给自己转账的时候只会显示“对方已隐藏姓名”连姓名校验都没法做。)

    谢谢!
    nisngyo
        95
    nisngyo  
       2020-09-25 17:53:30 +08:00
    饿,我代开当面付的 V2 V4 都可以

    当面付代提交一下,输入账户,直接就看见名字 了
    lzhw
        96
    lzhw  
    OP
       2020-09-25 22:53:51 +08:00
    @nisngyo 请问看到的是全部姓名(某某某),还是姓打了码的全名(*某某),还是最后一个字(**某)?谢谢

    @thonatos 能否也关注并反馈一下楼上的这个问题?谢谢
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1046 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 75ms · UTC 19:08 · PVG 03:08 · LAX 12:08 · JFK 15:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.