支付宝用户们注意了,现在只要有人知道了你绑定支付宝的手机号,(不需要转账)就大概率能拿到你的真实姓名

2020-09-15 13:28:46 +08:00
 lzhw

按理说支付宝在转账时只显示对方姓名的最后一个字,即使陌生人通过手机号搜索到自己的支付宝也很难获取自己的完整姓名,而且支付宝还在设置里提供了“通过手机号找到我”隐私开关可供有需求的用户关闭,彻底防止被陌生人用手机号搜索到自己的支付宝,但实际上支付宝这两个保护隐私的贴心设置在不久前已经能被网商银行的转账功能绕过而形同虚设了。

现在即使你没开通网商银行,并在支付宝里关闭了“通过手机号找到我”隐私开关,其他支付宝用户都无法通过手机号找到你,但网商银行用户依然能利用转账到支付宝的功能通过输入你的手机号强行找到你的支付宝,无视你支付宝已关闭手机号查找的隐私设置。

而且更关键的是其他人在网商银行的转账页面能直接看到你除姓以外的全名(*某某),不像支付宝和微信只能看到最后一个字(**某)。由于转账页面还提供了补全姓氏验证的功能,而前十大姓(王李张刘陈杨赵黄周吴)的人口就占了全国人口的 44%,所以即使不知道一个人的姓氏,尝试校验 10 次就有 44%的概率得到 TA 的全名,再往后多试几次概率更大。这样任何一个人都能很容易利用姓名校验功能输入常见姓氏撞出你的真实姓名,并不需要真的转账给你,零成本还无风险,无疑是对个人隐私的很大威胁。而你面对这种人肉搜索又没有任何办法(甚至你自己根本都不会知道已经被人 get 了机主真实姓名)~

上周我发了一个问题报告在全球工单节点 /t/705774,直到现在还没有得到任何阿里的人员的回应,更不用说修复了,觉得有必要新开一个帖提醒一下大家。提醒大家不要再相信关闭支付宝“通过手机号找到我”隐私开关就谁也没法用手机号找到你支付宝(网商银行用户照样能找),不要再相信大家转账支付宝前都只能看到对方姓名最后一个字(网商银行用户就是能看到两个字)。

由于我们用户没有任何措施来预防此类人肉搜索,只能希望网商银行能尽早尊重并同步支付宝的隐私设置(转账页只显示姓名的最后一个字,以及用户关闭了手机号查找那就是不能用手机号找)。不过我从另一个角度希望能给比较看重隐私的 V 友们一个建议(感谢 @lvybupt @imn1),建议把支付宝绑定的手机号改成使用频率低的专用号码,否则如果你用支付宝绑定的手机号同时注册了一堆网站,只要任一网站泄露了你的手机号(比如前段时间刷帖看到的微博泄露 5.38 亿用户名手机号关联数据库)几乎就等于同时泄露了你的真实姓名,随之而来的怕是更加精准的推销骚扰钓鱼诈骗以及更加容易的人肉搜索网络暴力了吧~

25676 次点击
所在节点    支付宝
96 条回复
672795574
2020-09-15 13:39:56 +08:00
的确是个漏洞吧,但是知道手机号的情况下,我个人感觉知道姓名聊胜于无
allenby
2020-09-15 13:41:22 +08:00
有手机号,充个话费就知道名字了
giter
2020-09-15 13:42:26 +08:00
所以 GV 号的需求就来了
thonatos
2020-09-15 13:45:44 +08:00
感谢提醒,已进行内部反馈,等候相关同学核实中。
Leonard
2020-09-15 13:46:04 +08:00
我支付宝绑的 GV 号,能拿到我的真实姓名吗
a0000
2020-09-15 13:49:06 +08:00
@672795574 被骗子利用就麻烦了,骗子可以随便用手机号去测名字,再打电话:喂,是张三吗?吧啦吧啦
crokily
2020-09-15 13:53:42 +08:00
昨天去采耳,在美团上付款,付完以后美团的订单还挺正常的,就是显示店名。
但是在银行 APP 里查收支明细,“美团点评-王 X”明明白白地把真名显示出来了……
redtea
2020-09-15 13:56:25 +08:00
要是绑了电子邮箱,会显示前几位,这样如果是姓名拼音就危险了。
kangsheng9527
2020-09-15 14:01:54 +08:00
可以设置不能通过手机号查找
Nicoco
2020-09-15 14:05:11 +08:00
有手机号,充个话费就知道名字了
tiantangtianma
2020-09-15 14:09:41 +08:00
@Nicoco 怎么可能呢
lzhw
2020-09-15 14:11:44 +08:00
@672795574 也有很多情况是只想留手机号并不想留真实姓名的啊,比如各种国内网站的注册,因为 SMZ 的要求,我提交了我的手机号,如果真犯了事有关部门可以来抓我,但是并不意味着没事的时候我就希望网站知道我的真实姓名,给我发各种亲爱的 XXX 广告骚扰,如果网站再把我姓名-手机号信息卖给骗子的话我肯定更是烦不胜烦。

而且很多时候网站的数据安全做的不到位,把我的手机号泄露了出去,这种情况下别人未经授权知道了我的手机号,本来已经很恶心了,如果再知道姓名那就更恶心了。请允许我再用微博举个例子,除了公众人物大多数用户在微博上都是用昵称交流,注册也都是只留了手机号并没有填写真实姓名,之前那波 5.38 亿用户名-手机号数据库泄露也不涉及姓名信息。但是现在的话如果我哪天发了一条微博,有人看着不爽了,在泄露的数据库里通过用户名查到了我绑定的手机号,然后用网商银行转支付宝的这个漏洞撞出我的真实姓名,在微博上指名道姓的挂我骂我,你觉得我会是啥感觉?
lzhw
2020-09-15 14:14:21 +08:00
@allenby
@Nicoco
现在已经不行了,都是打了码的
而且这种获取名字的方式也类似于通过转账然后看银行流水,被查的用户是有感知的,并不像网商银行这种完全可以在对方不知情的情况下获取对方姓名
Johnny168
2020-09-15 14:18:44 +08:00
搞半天你以为手机实名是来搞笑的吗
672795574
2020-09-15 14:19:08 +08:00
@lzhw 确实。 不过对我来说手机号和名字,骚扰电话知道手机号和都知道没啥区别。
另外还有个更骚的,房产中介通过车牌号就能查到我手机和名字。 理论上个人也可能有渠道。
lzhw
2020-09-15 14:22:32 +08:00
@thonatos 非常感谢!
lzhw
2020-09-15 14:23:36 +08:00
@redtea 是啊,转账页面会显示邮箱的前三位,如果包含姓的拼音,那基本上一猜一个准😭太可怕
ifxo
2020-09-15 14:25:31 +08:00
快递早就把你卖了,支付宝这个都不算啥事
lzhw
2020-09-15 14:26:13 +08:00
@Leonard 不好意思,没条件测试通过 GV 号的搜索,你可以请身边有网商银行账户的朋友测试一下,让他在转账支付宝的页面输入你的美国号码看看能不能定位到你的支付宝😂
lzhw
2020-09-15 14:30:58 +08:00
@crokily 如果有时间的话可以看看我在 /t/705774 里 #18 的帖子,描述的情况应该和你的比较像😂

简单说,通过转账来获取姓名的方式,一来用户会察觉,二来用户可以通过相关隐私设置来预防此类人肉攻击
对应起来说,网商银行这块比较麻烦的就是:
第一门槛低无成本不涉及金钱流动,用户被陌生人碰撞出了姓名也是毫无察觉
第二无论用户是不是设置了无法被查找的隐私开关,只要有手机号或邮箱都可以照查不误,用户没有预防的措施

所以我觉得网商银行的这个强制查找支付宝用户获取姓名的问题还是要比银行卡付款记录显示姓名的问题更容易被滥用也更值得注意😂
当然,哪怕银行卡付款记录显示姓名的问题确实更严重,我们也不希望破罐子破摔,啥都不 care 了,彻底放弃对隐私信息安全的追求,我觉得该说还得说,该反馈还得反馈嘛(参考我的第一条附言)

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/707160

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX