网商银行的转账功能可绕过支付宝的隐私设置,强制通过手机号搜索到支付宝用户并获取用户名字

2020-09-10 12:58:17 +08:00
 lzhw

先说一下我是怎么发现的。我的支付宝是用邮箱做用户名的,手机号只是安全绑定,未开通手机号登录,同时也在隐私设置里关闭了“通过手机号找到我”的开关,平时偶尔需要收款都是直接发二维码或者报邮箱。这是前提。

昨天有朋友要转账给我,还没等我给他看二维码,他就在网商银行的转账页面里输入我的手机号找到了我的支付宝,页面还显示出了我的两个字的名,姓是星号,他输入我的姓校验成功后页面就直接显示了我的全名。

而根据我的隐私设置,如果他是在支付宝里输入我的手机号尝试搜索我的账号,只会弹出提示“账号不存在,或对方关闭了‘通过手机号找到我’隐私开关”。而且即使他扫二维码或者输入邮箱找到了我,现在支付宝转账页面也默认只会显示对方姓名的最后一个字(对于我这种姓名是三个字的来说,除了姓之外,名的第一个字也是星号),输入姓校验通过也不会显示全名,中间那个字还是星号。

而网商银行这边不但能通过手机号找到关闭了“通过手机号找到我”隐私开关的我,还能向对方显示我全部的两个字的名,校验姓通过后直接就是全名。考虑到前十大姓(王李张刘陈杨赵黄周吴)的人口就占了全国人口的 44%,意味着即使不知道一个人的姓氏,尝试校验 10 次就有 44%的概率得到 TA 的全名。

也就是说哪怕关闭了手机号登录,哪怕关闭了“通过手机号找到我”隐私开关,只要对方从某种渠道获得了我们的手机号(比如前段时间刷帖看到的微博泄露 5.38 亿用户名手机号关联数据库),就有近半概率能通过网商银行目前的转账功能直接获取我们的真实姓名,零成本还无风险,无疑是对个人隐私的很大威胁。想到这里我真是背脊一阵发凉。也想建议大家,在有手机号搜索功能的各种 APP 里设置昵称不要使用自己的真实姓名,尽可能降低被精准地推销骚扰钓鱼诈骗以及人肉搜索网络暴力的概率。

我又和朋友试了一下,我这边把“通过邮箱找到我”隐私开关也关闭了,这时候他在支付宝里无论是搜索手机号还是邮箱都找不到我,只能扫我的二维码来转账,而网商银行输入我的邮箱依然成功找到了我的账号,显示出我的名字。。

感觉支付宝现在在隐私防陌生人探测方面做的就挺好,而网商银行这里,可能这个功能推出没多久,针对这方面的考量还是欠一些。阿里的同学能否帮忙反馈一下,优化改进网商银行这里的逻辑,向支付宝的隐私设置看齐,否则支付宝专门开发的“通过手机号 /邮箱找到我”隐私开关和转账页默认只显示姓名最后一个字以保护用户隐私的举措就没有实际意义了。

谢谢。

7775 次点击
所在节点    全球工单系统
42 条回复
singerll
2020-09-10 13:02:16 +08:00
提个题外话,只要有手机号,根本就不需要网商银行,运营商就行,而且拥有这个权利的职工多到你无法想象。
lzhw
2020-09-10 13:09:21 +08:00
@singerll 是的,运营商当然可以查,但是这两年对这些地下产业链的打击力度是越来越大,不可能随便一个人问人家就给。之前看 B 站的视频,想通过运营商内鬼查询手机号机主信息,价格已经炒到了几百块,成本在这里很多想搞事的就熄了这个心了。但是网商银行这个不同,没有门槛,谁都可以尝试发起转账来碰撞姓名,风险自然就大得多了
vmebeh
2020-09-10 13:11:24 +08:00
现在手机号==身份证号
特别是疫情期间,各种村镇做的平台都是找的不知名小公司——实际这些平台也就一签到表的功能——现在身份信息都漏得差不多了
lzhw
2020-09-10 13:20:01 +08:00
@vmebeh “身份信息都漏得差不多了”并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望网商银行能重视并解决这个问题~
vmebeh
2020-09-10 13:35:27 +08:00
@lzhw 只是表示有这个现象
顺便提醒一下还不知道这个可能性的人,毕竟疫情期间的通行码是 zf 主导,一般人都会觉得高大上
Zheming
2020-09-10 13:54:58 +08:00
如果支付宝人员没看到这个帖子,搞黑产的看到了...细思极恐
lzhw
2020-09-10 14:23:45 +08:00
@vmebeh 嗯,说的是,谢谢你的回复和提醒

@Zheming 额。。毕竟大名鼎鼎的全球工单论坛,阿里的 V 友应该不少吧,哪怕不是做支付业务的,内部反馈一下应该也有用~希望他们能尽早注意到😂
lzhw
2020-09-10 16:36:10 +08:00
我觉得阿里自身是有尊重和保护用户隐私的意愿的,否则也不会在支付宝里专门开发一个“通过手机号 /邮箱找到我”的隐私开关,供不希望陌生人随意搜索到自己的用户去关闭,转账页面也只显示姓名的最后一个字做验证,即使用户允许通过手机号搜索也不会轻易的泄露用户全部姓名~ 这些都显示出支付宝对用户隐私的尊重和保护,希望网商银行也能跟进实现一下,否则支付宝在隐私方面的“良苦用心”能被网商银行轻易绕过,不就尴尬得形同虚设了吗。。
passerbytiny
2020-09-10 17:17:48 +08:00
你怎么就确定这不是 Feture ?
fuchunliu
2020-09-10 17:24:35 +08:00
特意去网商银行 APP 搜了一圈,隐私设置只有把 支付宝中的网商银行关了这个功能。
Resource
2020-09-10 17:40:44 +08:00
根本不用这么麻烦,只要知道你的支付宝账号就能知道你的名字,不管你是啥邮箱还是手机号登录
lvybupt
2020-09-10 17:54:42 +08:00
有些银行的自动桂圆上,输出卡号,也会出来带*号的名字,这个是被当作 feature 的,为了给转账的人确认是不是没有输错账号。

网商这个也是明显当作 feature 来做的,要不然完全可以根本不显示任何内容。
lzhw
2020-09-10 18:30:46 +08:00
@passerbytiny 请看我#8 的帖子,支付宝的 feature 就不是这样的,显然阿里也是有心想尊重和保护用户隐私的。而且网商银行这么一搞,支付宝的两个在隐私方面的贴心设置(可设置不允许通过手机号查找,以及只显示姓名的一个字)就形同虚设了

@fuchunliu 嗯啊。现在这个情况,只需要查找的人尝试用网商银行转账支付宝即可,根本不需要被查找的人也开通网商银行,哪怕他的支付宝已关闭“通过手机号找到我”的隐私开关也照查不误。所以无法在网商银行的隐私设置里找解决方案~

@Resource 太恐怖了吧,请问是如何操作的?
Resource
2020-09-10 18:38:47 +08:00
@lzhw #13 弱智支付宝,只要我给某个支付宝用户转账,扣款从某些银行(比如工行)储蓄卡,支付宝会把转账人的姓名直接给到工行,然后转账记录里面就能看到
Resource
2020-09-10 18:39:39 +08:00
所以,给那个支付宝转个 0.01 就能知道支付宝账号的姓名了
Resource
2020-09-10 18:42:17 +08:00
@Resource #14 支付宝会把某个支付宝账号的人的姓名,改正下
lzhw
2020-09-10 18:43:56 +08:00
@lvybupt 请看我#8 的帖子。显示带*号名字当然可以说是 feature,但是支付宝的 feature 就只显示一个字(微信支付也是),没道理网商银行的就要有两个字,而且重点在于网商银行现在可以绕过支付宝里的“不允许通过手机号找到我”的隐私设置,强制通过手机号查出对应的支付宝账号和不带姓的名,也很容易再通过姓氏校验功能碰撞出全名,就像#6 说的很可能被某些见不得光的产业链滥用(微信支付甚至默认关闭了手机号接收转账的功能,转账时也没有补全姓名校验的功能,大多数情况下根本无法通过输入陌生人的手机号来尝试拿到对方真实姓名)

现在手机号使用的范围和泄露的程度比银行卡号要大得多,通过手机号查机主姓名也比通过银行卡号查持卡者姓名“有市场”得多,所以我觉得网商银行在这个地方做的还是有欠考量,最起码这么一搞,支付宝的两个在隐私方面的贴心设置(可设置不允许被手机号查找,以及只显示姓名的一个字)就形同虚设了
lzhw
2020-09-10 19:36:27 +08:00
@Resource 谢谢你的说明。这块我之前也有所耳闻,但是能看出这里还是有两个门槛的:

第一无法在被查找者完全不知情的情况下偷偷获取其姓名。如果自己账户莫名被转入了 1 分或 1 毛,肯定是有所警觉的(小心,自己有可能被人搞了),对方的账号自己这边也有记录(可以构成证据),支付宝的风控也不允许相关产业链大规模的批量转账(哪怕 1 分钱)来“碰撞攻击”他人姓名

第二如果支付宝用户关闭了“通过手机号 /邮箱找到我”的隐私开关,只知道他的支付宝账号名是没有用的,因为支付宝里压根搜不到,也就无从拿银行卡去转账了。这种情况下至少还得有他的收款二维码或者吱口令才行~

简单说一来用户会察觉,二来用户可以通过相关隐私设置来预防此类人肉攻击

对应起来说,网商银行这块比较麻烦的就是:

第一门槛低无成本不涉及金钱流动,用户被陌生人碰撞出了姓名也是毫无察觉

第二无论用户是不是设置了无法被查找的隐私开关,只要有手机号或邮箱都可以照查不误,用户没有预防的措施

所以我觉得网商银行的这个强制查找支付宝用户的问题还是要比银行卡付款记录显示姓名的问题更容易被滥用也更值得注意😂

当然,哪怕银行卡付款记录显示姓名的问题确实更严重,我们也不希望破罐子破摔,啥都不 care 了,彻底放弃对隐私信息安全的追求,我觉得该说还得说,该反馈还得反馈嘛(#4)
imn1
2020-09-10 20:01:26 +08:00
借楼问问题:
是否我有支付宝帐号,就默认开通了网商银行帐号?不需要我同意吗?还是支付宝协议里面就有这个?

如果是否,我还安心点……
lvybupt
2020-09-10 20:03:13 +08:00
@lzhw 你的疑问其实是没有问题的。 确实是有可能泄漏隐私。我很赞同你说的这些问题。但本质上不解决问题。

我也不在这两家企业工作,没必要为他们辩解。
我平时的工作是信息安全研究,包括隐私泄漏。我只是描述一下行业现状。

不过我提醒你一下 网商和支付宝实际上是蚂蚁金服下面的两家独立运营的公司。 他们的业务流程不同并不难理解。
其他银行现在也支持手机号转账功能,也是几乎显示所有姓名或直接不显示任何信息两种状态。
实际上这些也并不是完全没有防护状态的,至少爬虫是爬不进的。也就是任何人企图获得大量手机号到姓名的映射关联关系都会触发封孔甚至被宝镜处理。

另外,这个 feature 的由来很简单, 比起隐私泄漏存在可能的风险,直接转错人就是最直接的损失。而后者,才是银行业每天所面临的问题。

对于这个问题,我的建议也很简单。
1.为了手机号收付款的便捷性,面临隐私泄漏的风险。
2.直接关闭这个功能,包扩网上银行在内的所有银行,中农工建也不例外。

我自己从来不用这个功能。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/705774

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX