V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  lzhw  ›  全部回复第 4 页 / 共 10 页
回复总数  185
1  2  3  4  5  6  7  8  9  10  
@leeg810312 京东这个确实需要其他来源的信息交叉验证,但是我另一个帖子里提到的“网商银行转账支付宝大概率能拿到姓名”的漏洞 /t/707160 就完全不需要其他信息来源,通过转账页面的姓名校验功能输入常见姓氏进行碰撞就大概率能拿到对方真实姓名。。

前十大姓(王李张刘陈杨赵黄周吴)的人口就占了全国人口的 44%,即使不知道一个人的姓氏,尝试校验 10 次就有 44%的概率得到 TA 的全名,再往后多试几次概率更大
@JellyDong 我支付宝那边 /t/707160 和京东这边都中枪了,心情也是难以言表😭
@acooler15 就像楼上说的,现在基本上都是打了码的

而且这种获取名字的方式也类似于通过转账然后看银行流水,被查的用户是有感知的,并不像网商银行这种完全可以在对方不知情的情况下获取对方姓名,所以我感觉还是网商银行的这个漏洞更容易被滥用也更值得注意一些
@datoujiejie221
@yefuchao
@hejw19970413
是的,京东的这个通过添加银行卡来找回密码的机制应该是对所有已实名用户都适用,也就是实名用户们全都中招躺枪😭
@N0phone 所以才希望有类似 GDPR 的隐私保护法规来约束网站的行为啊,“最初之约定”不能滥用
我的数据我知道你用在什么地方,我同意了,你不能超出( thx @imn1
就像我把姓名身份信息授权给支付宝和京东,是金融合规性的需要,不是让他们现在搞的随便一个人都能通过手机号查到我的姓名😭
@JellyDong 往下拉找小字部分里的“修改关联手机号”
@lzhw 往下拉找小字部分里的“修改关联手机号”
@yu3x1n0 往下拉找小字部分里的“修改关联手机号”

@shayang888 看下#63 试试?
@Felldeadbird 是的啊,这只是个密码找回,又不是转账,显示用户名字是要干嘛。。自己找回自己的密码还能不知道自己叫什么吗。。反倒是被别有用心的陌生人看见了就麻烦了。。而且就算是转账,现在支付宝和微信都只是显示姓名的最后一个字了,京东这直接显示全名更是没道理。。
@hafuhafu 实际上“网商银行转账支付宝大概率能拿到姓名”这个问题可能要更严重一些,因为转账页面提供了姓名校验功能,完全可以多次尝试输入常见姓来把全部真实姓名撞出来。。

即使网商银行的那个漏洞修复了,支付宝转账还是能把姓试出来,和京东暴露的全名交叉验证一下也就能拿到全部真实姓名了。。不过好在支付宝这里可以关闭手机查找,这样别人就无法在支付宝里通过手机号搜索到自己的支付宝了(无法关闭的是网商银行对支付宝用户的手机查找,但是假设这个问题已经被修复)

不管怎样,还是希望支付宝和京东的两个漏洞都能早日得到解决吧😭
@maxxfire
@yuhaijiang2019
即使现在信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望京东能重视并解决这个问题~
真不想破罐破摔啊😭
@ShotaconXD 更精准的推销骚扰钓鱼诈骗就不说了,我最担心的可能是#57 里说的那样,在网上不经意间得罪人,遭遇到人肉搜索和网络暴力。。很多网站我们只留了手机号,本来问题不大,但如果真实姓名也被人拿到了,能干的事就比较恶心了

原谅我又拿微博举例子:假如我发了一条微博,有人看着不爽了,从之前泄露的微博 5.38 亿用户名-手机号数据库里通过我用户名查到了我绑定的手机号,就能用我们讨论的这几个漏洞撞出我的真实姓名,在微博上指名道姓的挂我骂我。。像这种“一言不合就给我来个网络暴力”可谓防不胜防啊😭
@xFrye 是啊,细思极恐啊,昨天讨论了“网商银行转支付宝大概率暴露姓名”的漏洞 /t/707160,紧接着就是京东这个,现在就怕马上又有其他平台的漏洞被曝出来😭
@kerro1990 😭
@lvybupt 非常感谢!!

我最担心的可能是之前在 /t/707160 #57 里说的那样,在网上不经意间得罪人,遭遇到人肉搜索和网络暴力。。很多网站我们只留了手机号,本来问题不大,但如果真实姓名也被人拿到了,能干的事就比较恶心了

原谅我又拿微博举例子:假如我发了一条微博,有人看着不爽了,从之前泄露的微博 5.38 亿用户名-手机号数据库里通过我用户名查到了我绑定的手机号,就能用我们讨论的这几个漏洞撞出我的真实姓名,在微博上指名道姓的挂我骂我。。像这种“一言不合就给我来个网络暴力”可谓防不胜防啊😭

唉,还是希望支付宝和京东的两个漏洞都能早日得到解决吧😭
还是希望支付宝和京东的两个漏洞都能早日得到解决吧😭
@Keng 谢谢你的说明,不过感觉真的好难受😭
@madNeal 支付宝和微信转账的时候也只显示对方姓名的最后一个字,这两家公司都认为这已经是“保护用户隐私”和“防止转错帐”之间的一个良好折中😭我怎么也想不通自己找回自己的密码的时候,还需要看到自己的全名才能确保是自己的账户,讲道理找回密码时要你主动输入自己的姓名做验证都是完全可以的😭

@justd 希望你没有看到我另一个关于“支付宝大概率能被人通过手机号拿到真实姓名”的帖子,否则会更难受😭

@RouJiANG14
@whoami9894
抱歉我可能在标题中没有描述妥当,目前泄露的就是用户除了姓以外的全名(*某某),身份证号是打了码的
@sagaxu 能做一点算一点吧,所谓的有一分热,发一分光,如果什么都不做,那才是最绝望的啊😭

再怎么说,支付宝和京东的两个漏洞要都能得到解决,那么世界上的漏洞不就少了两个吗
1  2  3  4  5  6  7  8  9  10  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1262 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 74ms · UTC 17:36 · PVG 01:36 · LAX 09:36 · JFK 12:36
Developed with CodeLauncher
♥ Do have faith in what you're doing.