先说一下我是怎么发现的。我的支付宝是用邮箱做用户名的,手机号只是安全绑定,未开通手机号登录,同时也在隐私设置里关闭了“通过手机号找到我”的开关,平时偶尔需要收款都是直接发二维码或者报邮箱。这是前提。
昨天有朋友要转账给我,还没等我给他看二维码,他就在网商银行的转账页面里输入我的手机号找到了我的支付宝,页面还显示出了我的两个字的名,姓是星号,他输入我的姓校验成功后页面就直接显示了我的全名。
而根据我的隐私设置,如果他是在支付宝里输入我的手机号尝试搜索我的账号,只会弹出提示“账号不存在,或对方关闭了‘通过手机号找到我’隐私开关”。而且即使他扫二维码或者输入邮箱找到了我,现在支付宝转账页面也默认只会显示对方姓名的最后一个字(对于我这种姓名是三个字的来说,除了姓之外,名的第一个字也是星号),输入姓校验通过也不会显示全名,中间那个字还是星号。
而网商银行这边不但能通过手机号找到关闭了“通过手机号找到我”隐私开关的我,还能向对方显示我全部的两个字的名,校验姓通过后直接就是全名。考虑到前十大姓(王李张刘陈杨赵黄周吴)的人口就占了全国人口的 44%,意味着即使不知道一个人的姓氏,尝试校验 10 次就有 44%的概率得到 TA 的全名。
也就是说哪怕关闭了手机号登录,哪怕关闭了“通过手机号找到我”隐私开关,只要对方从某种渠道获得了我们的手机号(比如前段时间刷帖看到的微博泄露 5.38 亿用户名手机号关联数据库),就有近半概率能通过网商银行目前的转账功能直接获取我们的真实姓名,零成本还无风险,无疑是对个人隐私的很大威胁。想到这里我真是背脊一阵发凉。也想建议大家,在有手机号搜索功能的各种 APP 里设置昵称不要使用自己的真实姓名,尽可能降低被精准地推销骚扰钓鱼诈骗以及人肉搜索网络暴力的概率。
我又和朋友试了一下,我这边把“通过邮箱找到我”隐私开关也关闭了,这时候他在支付宝里无论是搜索手机号还是邮箱都找不到我,只能扫我的二维码来转账,而网商银行输入我的邮箱依然成功找到了我的账号,显示出我的名字。。
感觉支付宝现在在隐私防陌生人探测方面做的就挺好,而网商银行这里,可能这个功能推出没多久,针对这方面的考量还是欠一些。阿里的同学能否帮忙反馈一下,优化改进网商银行这里的逻辑,向支付宝的隐私设置看齐,否则支付宝专门开发的“通过手机号 /邮箱找到我”隐私开关和转账页默认只显示姓名最后一个字以保护用户隐私的举措就没有实际意义了。
谢谢。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.