支付宝用户们注意了,现在只要有人知道了你绑定支付宝的手机号,(不需要转账)就大概率能拿到你的真实姓名

2020-09-15 13:28:46 +08:00
 lzhw

按理说支付宝在转账时只显示对方姓名的最后一个字,即使陌生人通过手机号搜索到自己的支付宝也很难获取自己的完整姓名,而且支付宝还在设置里提供了“通过手机号找到我”隐私开关可供有需求的用户关闭,彻底防止被陌生人用手机号搜索到自己的支付宝,但实际上支付宝这两个保护隐私的贴心设置在不久前已经能被网商银行的转账功能绕过而形同虚设了。

现在即使你没开通网商银行,并在支付宝里关闭了“通过手机号找到我”隐私开关,其他支付宝用户都无法通过手机号找到你,但网商银行用户依然能利用转账到支付宝的功能通过输入你的手机号强行找到你的支付宝,无视你支付宝已关闭手机号查找的隐私设置。

而且更关键的是其他人在网商银行的转账页面能直接看到你除姓以外的全名(*某某),不像支付宝和微信只能看到最后一个字(**某)。由于转账页面还提供了补全姓氏验证的功能,而前十大姓(王李张刘陈杨赵黄周吴)的人口就占了全国人口的 44%,所以即使不知道一个人的姓氏,尝试校验 10 次就有 44%的概率得到 TA 的全名,再往后多试几次概率更大。这样任何一个人都能很容易利用姓名校验功能输入常见姓氏撞出你的真实姓名,并不需要真的转账给你,零成本还无风险,无疑是对个人隐私的很大威胁。而你面对这种人肉搜索又没有任何办法(甚至你自己根本都不会知道已经被人 get 了机主真实姓名)~

上周我发了一个问题报告在全球工单节点 /t/705774,直到现在还没有得到任何阿里的人员的回应,更不用说修复了,觉得有必要新开一个帖提醒一下大家。提醒大家不要再相信关闭支付宝“通过手机号找到我”隐私开关就谁也没法用手机号找到你支付宝(网商银行用户照样能找),不要再相信大家转账支付宝前都只能看到对方姓名最后一个字(网商银行用户就是能看到两个字)。

由于我们用户没有任何措施来预防此类人肉搜索,只能希望网商银行能尽早尊重并同步支付宝的隐私设置(转账页只显示姓名的最后一个字,以及用户关闭了手机号查找那就是不能用手机号找)。不过我从另一个角度希望能给比较看重隐私的 V 友们一个建议(感谢 @lvybupt @imn1),建议把支付宝绑定的手机号改成使用频率低的专用号码,否则如果你用支付宝绑定的手机号同时注册了一堆网站,只要任一网站泄露了你的手机号(比如前段时间刷帖看到的微博泄露 5.38 亿用户名手机号关联数据库)几乎就等于同时泄露了你的真实姓名,随之而来的怕是更加精准的推销骚扰钓鱼诈骗以及更加容易的人肉搜索网络暴力了吧~

25861 次点击
所在节点    支付宝
96 条回复
lzhw
2020-09-15 14:35:03 +08:00
@kangsheng9527 不好意思,现在的问题就是即使你在支付宝里关闭了“通过手机号找到我”隐私开关,其他支付宝用户都无法通过手机号找到你,但网商银行用户依然能利用转账到支付宝的功能通过输入你的手机号强行找到你的支付宝,也就是说这个设置已经形同虚设了😭
lzhw
2020-09-15 14:40:14 +08:00
@Johnny168 请看我#12 的帖子

手机(对运营商 /有关部门)实名和任何人都能通过手机找到我的实名是两码事
lzhw
2020-09-15 14:40:57 +08:00
@ifxo 即使现在身份信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望网商银行能重视并解决这个问题~
Leonard
2020-09-15 14:42:14 +08:00
@ifxo 快递可以写假名
lzhw
2020-09-15 14:46:56 +08:00
@672795574 这个确实很恶心。。希望隐私保护大环境能越来越好吧

不过知道了姓名就能更加精准的推销骚扰钓鱼诈骗以及更加容易的人肉搜索网络暴力了,我觉得还是不要破罐子破摔的好,能争取还是尽量争取吧😭

就像我之前说的,即使现在身份信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望网商银行能重视并解决这个问题~
monkey110
2020-09-15 14:53:07 +08:00
没影响啊 我支付宝头像就是个人真名签名 基本只有认识的人才加 普通给我联系 我一听不认识直接顺手拉黑 银行移动联通类客服拉黑的也不少 至今也没出过事
lzhw
2020-09-15 15:04:24 +08:00
@Leonard 想冒昧问一下,GV 号本身是不需要实名的,但是你这样绑定在了实名的支付宝上,不就相当于变相的实名了你的 GV 号了吗?这种“实名”了之后的 GV 号用在其他地方不会不方便吗?
kidult
2020-09-15 15:10:47 +08:00
想多了,现在递快递都要实名+身份证了
nicevar
2020-09-15 15:16:36 +08:00
这时候名字就很重要了,我很多地方都用真实名字,毕竟我的名字同名全国能排前二十,同名的有二十多万。。。
别说支付宝了,买个车险分分钟就泄漏手机号+名字
lzhw
2020-09-15 15:18:46 +08:00
@redtea 另外提一句,如果支付宝绑了电子邮箱,在设置里关闭“通过邮箱找到我”隐私开关也是没有用的,其他支付宝用户虽然无法再通过邮箱找到自己,但是网商银行用户依然可以直接输入邮箱找到,显示自己信息的界面和手机号搜索到的一样😭

而且还有一个问题,有部分 V 友喜欢用自己的个人域名邮箱来绑定账号,但是转账页面只会把邮箱用户名(前缀)从第四位之后隐藏,邮箱的域名(后缀)是全部显示的,而一般使用个人域名邮箱时,在用户名(前缀)方面普遍设置的也比较简单,比如 i 、me 、mail 、admin 、contact 什么的,从第四位之后打码就和没打一样,完整的邮箱名相当于都暴露了。。
lzhw
2020-09-15 15:22:59 +08:00
@kidult
@nicevar
即使现在身份信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望网商银行能重视并解决这个问题~真的不想破罐子破摔啊😭
zhoushiya
2020-09-15 15:25:50 +08:00
nicevar
2020-09-15 15:26:30 +08:00
@lzhw 不是破罐子破摔啊,目前的环境没办法,到处都是泄漏,收寄快递、办会员卡、疫情管控信息录入等等,根本是防不胜防,所以我都是用多个手机号,分离需求
lzhw
2020-09-15 15:32:46 +08:00
@nicevar 唉,确实,针对网商银行转支付宝的这个姓名碰撞漏洞,在厂商修复之前我觉得我们自己能做的也无非就是多个手机号分离需求了😭说起来我名字有些偏生僻,现在还真是羡慕你这“泯然众人”的名字嗨😭
Leonard
2020-09-15 15:32:57 +08:00
@lzhw 你说的有一定道理,但对我来说 GV 号最大的作用就是杜绝了绝大多数的垃圾短信和骚扰电话,而且不影响我换手机号。现在的时代不存在绝对的匿名,所谓实名不实名,也只是增加获取个人信息的门槛而已,通过支付宝实名来确认 GV 所属人信息这个门槛已经能过滤绝大多数隐私泄露的情况了。
lzhw
2020-09-15 15:37:46 +08:00
@thonatos 多说一句请恕我冒昧,我之前在工单节点发布的帖子对此讨论的更详细,希望你能一并反馈给内部同学
https://www.v2ex.com/t/705774
再次感谢!
Keng
2020-09-15 15:40:18 +08:00
京东 找回密码的时候,选择 「修改关联手机号」,再选择 「使用 关联新银行卡」,也是可以看到全名的(*某某)。
lzhw
2020-09-15 15:51:03 +08:00
@Leonard 明白了,谢谢你的解释

但是还想提醒一下,针对本帖讨论的这个漏洞,关闭了支付宝的“通过手机号找到我”隐私开关,网商银行搜索美国号码也是很可能能搜的到对应的支付宝的,如果你的姓氏还是较为常见的那种,你所说的“通过支付宝实名来确认 GV 属人信息这个门槛”就很可能低到了是个人都可以利用的程度了😭建议你有条件的话还是测试一下确认到底是什么情况为好

不过我也反应过来了,没人规定一个人只能用一个 GV 号,完全可以多个 GV 分级使用,“实名”了一个 GV 对其他的也没啥影响,该咋用还咋用啊。。
imn1
2020-09-15 15:54:02 +08:00
@Keng #37
哇咔咔咔……苦笑
这世界真是防不胜防……不过京东我好像没实名(指的是仅有手机号,没传身份证)
lzhw
2020-09-15 15:59:12 +08:00
@Keng 我去,这么恶心,简直了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/707160

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX