按理说支付宝在转账时只显示对方姓名的最后一个字,即使陌生人通过手机号搜索到自己的支付宝也很难获取自己的完整姓名,而且支付宝还在设置里提供了“通过手机号找到我”隐私开关可供有需求的用户关闭,彻底防止被陌生人用手机号搜索到自己的支付宝,但实际上支付宝这两个保护隐私的贴心设置在不久前已经能被网商银行的转账功能绕过而形同虚设了。
现在即使你没开通网商银行,并在支付宝里关闭了“通过手机号找到我”隐私开关,其他支付宝用户都无法通过手机号找到你,但网商银行用户依然能利用转账到支付宝的功能通过输入你的手机号强行找到你的支付宝,无视你支付宝已关闭手机号查找的隐私设置。
而且更关键的是其他人在网商银行的转账页面能直接看到你除姓以外的全名(*某某),不像支付宝和微信只能看到最后一个字(**某)。由于转账页面还提供了补全姓氏验证的功能,而前十大姓(王李张刘陈杨赵黄周吴)的人口就占了全国人口的 44%,所以即使不知道一个人的姓氏,尝试校验 10 次就有 44%的概率得到 TA 的全名,再往后多试几次概率更大。这样任何一个人都能很容易利用姓名校验功能输入常见姓氏撞出你的真实姓名,并不需要真的转账给你,零成本还无风险,无疑是对个人隐私的很大威胁。而你面对这种人肉搜索又没有任何办法(甚至你自己根本都不会知道已经被人 get 了机主真实姓名)~
上周我发了一个问题报告在全球工单节点 /t/705774,直到现在还没有得到任何阿里的人员的回应,更不用说修复了,觉得有必要新开一个帖提醒一下大家。提醒大家不要再相信关闭支付宝“通过手机号找到我”隐私开关就谁也没法用手机号找到你支付宝(网商银行用户照样能找),不要再相信大家转账支付宝前都只能看到对方姓名最后一个字(网商银行用户就是能看到两个字)。
由于我们用户没有任何措施来预防此类人肉搜索,只能希望网商银行能尽早尊重并同步支付宝的隐私设置(转账页只显示姓名的最后一个字,以及用户关闭了手机号查找那就是不能用手机号找)。不过我从另一个角度希望能给比较看重隐私的 V 友们一个建议(感谢 @lvybupt @imn1),建议把支付宝绑定的手机号改成使用频率低的专用号码,否则如果你用支付宝绑定的手机号同时注册了一堆网站,只要任一网站泄露了你的手机号(比如前段时间刷帖看到的微博泄露 5.38 亿用户名手机号关联数据库)几乎就等于同时泄露了你的真实姓名,随之而来的怕是更加精准的推销骚扰钓鱼诈骗以及更加容易的人肉搜索网络暴力了吧~
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.