网商银行的转账功能可绕过支付宝的隐私设置,强制通过手机号搜索到支付宝用户并获取用户名字

2020-09-10 12:58:17 +08:00
 lzhw

先说一下我是怎么发现的。我的支付宝是用邮箱做用户名的,手机号只是安全绑定,未开通手机号登录,同时也在隐私设置里关闭了“通过手机号找到我”的开关,平时偶尔需要收款都是直接发二维码或者报邮箱。这是前提。

昨天有朋友要转账给我,还没等我给他看二维码,他就在网商银行的转账页面里输入我的手机号找到了我的支付宝,页面还显示出了我的两个字的名,姓是星号,他输入我的姓校验成功后页面就直接显示了我的全名。

而根据我的隐私设置,如果他是在支付宝里输入我的手机号尝试搜索我的账号,只会弹出提示“账号不存在,或对方关闭了‘通过手机号找到我’隐私开关”。而且即使他扫二维码或者输入邮箱找到了我,现在支付宝转账页面也默认只会显示对方姓名的最后一个字(对于我这种姓名是三个字的来说,除了姓之外,名的第一个字也是星号),输入姓校验通过也不会显示全名,中间那个字还是星号。

而网商银行这边不但能通过手机号找到关闭了“通过手机号找到我”隐私开关的我,还能向对方显示我全部的两个字的名,校验姓通过后直接就是全名。考虑到前十大姓(王李张刘陈杨赵黄周吴)的人口就占了全国人口的 44%,意味着即使不知道一个人的姓氏,尝试校验 10 次就有 44%的概率得到 TA 的全名。

也就是说哪怕关闭了手机号登录,哪怕关闭了“通过手机号找到我”隐私开关,只要对方从某种渠道获得了我们的手机号(比如前段时间刷帖看到的微博泄露 5.38 亿用户名手机号关联数据库),就有近半概率能通过网商银行目前的转账功能直接获取我们的真实姓名,零成本还无风险,无疑是对个人隐私的很大威胁。想到这里我真是背脊一阵发凉。也想建议大家,在有手机号搜索功能的各种 APP 里设置昵称不要使用自己的真实姓名,尽可能降低被精准地推销骚扰钓鱼诈骗以及人肉搜索网络暴力的概率。

我又和朋友试了一下,我这边把“通过邮箱找到我”隐私开关也关闭了,这时候他在支付宝里无论是搜索手机号还是邮箱都找不到我,只能扫我的二维码来转账,而网商银行输入我的邮箱依然成功找到了我的账号,显示出我的名字。。

感觉支付宝现在在隐私防陌生人探测方面做的就挺好,而网商银行这里,可能这个功能推出没多久,针对这方面的考量还是欠一些。阿里的同学能否帮忙反馈一下,优化改进网商银行这里的逻辑,向支付宝的隐私设置看齐,否则支付宝专门开发的“通过手机号 /邮箱找到我”隐私开关和转账页默认只显示姓名最后一个字以保护用户隐私的举措就没有实际意义了。

谢谢。

7707 次点击
所在节点    全球工单系统
42 条回复
lvybupt
2020-09-10 20:04:31 +08:00
@imn1 不是,网商是自己开通的,还需要签一个银行的服务协议, 支付宝本身只是个在线支付的服务协议。
ThirdFlame
2020-09-10 20:23:21 +08:00
@Resource 这不是支付宝弱智 ,是网联 /GUOjIA 要求的 为了防止洗钱。
lzhw
2020-09-10 21:22:05 +08:00
@lvybupt 谢谢你的回复。还有几个疑问想请教下

目前支付宝和微信支付都是只显示姓名的最后一个字作为防错提醒,支付宝虽然提供了输入姓氏的进一步校验,但是三字姓名中间的那个字还是不会被陌生人轻易获取的,算是便利和隐私的一种比较好的折中,而且应该可以认为在这两家公司看来这种程度的验证就足以接受了。名字全部隐藏固然不可取,但是像网商银行现在这样直接显示两个字是不是有点太多了?希望网商银行能跟进支付宝的隐私保护举措,搞成只显示一个字的,隐私泄露的风险自然就能降低很多了,你建议的第一点不就更容易被接受了嘛,你说呢

至于你建议的第二点( 2.直接关闭这个功能,包括网商银行在内的所有银行,中农工建也不例外),我也想“直接关闭这个功能”,但现在网商银行无视支付宝用户的“关闭”设置,强制“开通”了支付宝的手机号收款功能,关闭不了啊😂目前这个问题无关网商银行自己的手机号便捷转账功能,而是网商银行面向支付宝用户的手机号便捷转账,这个本来应该是在支付宝中设置“不允许通过手机号查找到我的账号”的隐私选项而关闭的,但是现在的问题就是支付宝已经关闭了“他人便捷转账到我手机号”的功能,但在网商银行这边还是能强制通过手机号找到对应支付宝用户,并且拿到用户的不带姓的全名,等于说支付宝用户目前是无法真正关闭这个功能的,支付宝里的“不允许通过手机号找到我”的隐私设置形同虚设,这才是最尴尬的

“网商和支付宝实际上是蚂蚁金服下面的两家独立运营的公司”,这个我理解,可目前网商银行转账到支付宝的这个功能是和支付宝有着深度联系和交集的,他们的隐私控制选项无法做到协同显然会让支付宝更合理的隐私控制选项(可设置不允许被手机号查找,以及只显示姓名的一个字)被轻易绕过(必须能被手机号查找,以及显示姓名的两个字)而变得毫无意义。从这方面来讲,我认为请求网商银行尊重并跟进支付宝的隐私控制选项,只显示姓名的一个字并让用户能真正关闭手机号被查找,是正当而合理的,这么搞也不能说“本质上不解决问题”吧,你认为呢?
lzhw
2020-09-10 21:38:09 +08:00
@imn1 不是的,请放心

不过目前的问题是即使你没开通网商银行,只要别人开通了网商银行,他就能在网商银行里面通过手机号或邮箱找到你的支付宝,无论你有没有在支付宝里关闭“通过手机号 /邮箱找到我”隐私开关,而且转账页面显示的姓名信息比支付宝转账看到的更多更全,撞出全名更容易😂
lzhw
2020-09-10 21:57:45 +08:00
@ThirdFlame 微信绑卡支付京东绑卡支付还有支付宝绑定部分银行的银行卡支付,在转账记录里也不会显示全名,并不是所有的绑卡支付都会这样,所以感觉这个理由有些微微站不住脚啊😂
imn1
2020-09-10 22:03:08 +08:00
@lzhw #24
这个……这逻辑不对啊

我没授权网商银行使用我的电话号码,无论我支付宝怎么设置,在网商银行这边理应都是“查无此人”才对
我没有授权,网商银行就能显示我的支付宝帐号,这个违法吧?
TypeError
2020-09-10 22:12:37 +08:00
所以网商能显示非网商的支付宝的姓名?这么恶心?
lzhw
2020-09-10 22:37:23 +08:00
@imn1 我也纳闷大家对这种事情为啥都那么淡定呢

网商银行搜索到的就是支付宝的信息,但就像是走了内部员工通道,权限更大,可无视支付宝用户的“不允许通过手机号查找到我”的设置,而且网商银行这里显示的支付宝用户的姓名信息也比支付宝显示的其他用户的姓名信息更多更全,说实话支付宝用户都没有网商银行用户的这般待遇,相较而言真的有种“高人一等”的感觉了😂反观支付宝用户,啥都不做就直接躺枪,本来以为大家都只能看到对方姓名的最后一个字,没料到网商银行的用户就是能看到两个字,而且不允许手机查找的隐私设置现在也就能对其他支付宝用户有作用,到网商银行用户这里就不灵了,也有种掩耳盗铃的感觉😂
lvybupt
2020-09-10 22:43:58 +08:00
@lzhw 这个实际上是因为有人的姓名只有两个字,系统统一显示的是名,姓撞车的概率太大了,它并没有判断二字还是三字,甚至四五六个字。其实本质上还是银行开发面向的服务大众甚至包括不会输入的人群。最早这个问题暴露的时候是连姓都不隐藏的,隐藏姓也是最近这几年的事情。至于为何不改进这个系统,银行本身业务层才是主营业务。以后可能会改进吧。
同理的还有移动服务。最早任何人报姓名可以直接查电话,后来报电话可以直接查姓名。到现在内部工作人员根据电话号码也只能查到星号和名,运营商系统已经做到需要读身份证并且用户签名才能显示完整的客户信息。

你后边这两段实际上说的是同一个问题。网商银行可以直接通过手机号转到某人的支付宝。这个过程会暴露 真实姓名。
抱歉,我现在没办法做测试, 我一开始理解错了。
你描述的确实是很严重的问题了。

这个问题是在于两个公司共享了账号表单,没有共享权限表单。
lzhw
2020-09-10 23:04:39 +08:00
@TypeError 也不是直接显示全部姓名,而是显示的姓名信息里只隐藏了姓,名无论是几个字都是完全显示的,想撞出全名比支付宝更容易

但还是 imni 说的,没有授权,网商银行就能显示我的支付宝帐号,确实是个很严重的问题。现在就是,不管你支付宝有没有开通网商银行,只要绑定了手机号,网商银行的用户就能在转账页面输入手机号找到你的支付宝账号,哪怕你在支付宝里关闭了“通过手机号找到我”隐私开关也照查不误,在这里支付宝的隐私设置(关闭手机查找)被网商银行完全无视了
lzhw
2020-09-11 00:42:54 +08:00
@lvybupt 明白你说的银行的业务改进的现状了,但具体到网商银行这里,毕竟是和支付宝集成度很高的互联网银行,印象中网商银行直接转账给支付宝的这个功能上线也没多久,同属阿里系的支付宝在这两个隐私设置上已经有相关实现在前,参考一下做出改进我认为不会像传统银行那样困难吧😂

更何况网商银行转账时查找到的支付宝用户信息说白了还是支付宝向网商银行提供的,所以即使网商银行就是不愿意做出改进,在网商银行用户查找支付宝用户时,支付宝完全可以直接用自家的接口帮忙提供用户信息,这时显示的肯定就是支付宝的(**某)而不是网商银行的(*某某)了吧~ 你认为呢

很高兴我终于说清楚了支付宝用户(关闭手机号查找)的隐私设置被网商银行完全无视了的这个问题,但是目前看来我们支付宝用户对此完全无能为力,请问你还有什么好的建议给大家吗

最后想问一下,关于 @imn1 在#26 说的,能否分享一下你的看法

谢谢!
lvybupt
2020-09-11 09:02:44 +08:00
@lzhw #26 很遗憾支付宝的隐私条款里确实是必须点同意它与第三方才能共享信息的。 流氓条款不同意就没办法用。


我自己一直用 3 个手机号,做身份隔离。 而且这个方案用了将近十年,效果很好。

有一个只用来接收金融服务税务或者其他完全可靠的验证码,甚至 Apple id,steam 的绑定手机,平时不携带者,待机半个月冲一次电,把他们和 U 盾放到一起管理。这个号码只告诉对象父母的人。+8 元

常用联系人,告诉所有亲朋的稳定号码。长期不换,不捆绑乱七八糟网站的账号,主要接打电话为主。这个手机卡的垃圾短信往往来自于猪队友把通信录共享给了某些 app 。+30 元左右

第三张卡,绑定各种非重要号码,流量卡,接收快递外卖,账号丢失也可以用新手机号注册损失不大,只谈临时业务和工作的联系人也告诉这个号码。随意屏蔽短信。 换卡成本低,甚至换工作换环境或有新的优惠我都很有可能更换这张卡。200/年

邮箱也用类似的设置,而且邮箱可以自主编辑规则的方式更简单。三层权限的邮件,重要邮件、重要关键词自动转发。

如果足够有精力,虚构一个身份作为自己上网的形象会更有用。现在最主要的损失还是来自于诈骗和社会工程学。如果彪形大汉在网络上的发言虚构自己是一个活力无限的少女,骗子一开口说女士的时候就暴露了。

环境不好,自己保护自己。
lzhw
2020-09-11 10:38:09 +08:00
@lvybupt 非常感谢
lzhw
2020-09-11 11:24:30 +08:00
@imn1 可以看一下楼上的帖子
lzhw
2020-09-11 13:32:14 +08:00
@Zheming 唉,一天过去了,有点慌。。
lzhw
2020-09-11 16:15:45 +08:00
冒昧 at 请原谅,能否帮忙反馈一下,先谢谢了
@dashui
@rowanhao
@zshanjun
@lukyers
@aprilfool001
@bcdzc
@ogko
@BosenY
@ouyangnandi
@jlzhu
imn1
2020-09-11 16:43:14 +08:00
唉,这种流氓条款真无奈

@lzhw
我感觉 @lvybupt #32 和我很像呢
我 7 个手机号(有两个还不是我名下),金融那个也是只有父母才知道
打电话的号码不跑流量、少注册什么,跑流量的号码通讯录是伪造的,然后几个用于注册的卡平时扔一边,再加一个收快递的号码放在功能机,没快递收就关机
支付宝、微信虽然主要用于移动支付,但性质和金融不同,也是分开号码

然后网上几个身份,工作、娱乐、爱好、亲友分开,写 Python 是其中一个爱好,就是这个帐号,其他地方(娱乐)难以发现我写程序,git 上的帐号跟 V2EX 毫无关系,我没在这边透露过

哈哈

不过百密一疏,有个理财产品(三方),我把联络电话留成金融那个,应该留另一个才对,现在偶尔接到一些投资的广告,唉
lzhw
2020-09-11 18:00:51 +08:00
@imn1 谢谢,学习了😂

看了隔壁的帖子 /t/705720,心真的是太累了。。唉,还是希望隐私信息安全大环境能越来越好吧

当然目前更希望网商银行这个能有个妥善的解决😭
lzhw
2020-09-13 15:11:04 +08:00
阿里的 V 友们,看了帖子能帮忙反馈一下吗?谢谢了
mlgb
2020-09-13 18:48:27 +08:00
好像不能复现了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/705774

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX