联通 APP 隐私问题

2021-08-29 23:44:39 +08:00
 airdget
COOKIE 中带手机号和身份证号
certNum xxxxxxxxxxxxxxxxxx
custId 130xxxxxxxx

要是手机丢了,访问 APP 可以直接知道卡号主人身份证
2176 次点击
所在节点    程序员
12 条回复
mschultz
2021-08-29 23:46:16 +08:00
锁屏
airdget
2021-08-29 23:54:38 +08:00
@mschultz 可以拿手机卡 短信登陆
harde
2021-08-30 00:07:31 +08:00
手机有种东西叫密码,SIM 卡有种东西叫 PIN
kingfalse
2021-08-30 00:11:14 +08:00
都吃泡面了还在乎健康???
takeshima
2021-08-30 00:13:04 +08:00
把身份证号写进 cookie 真的是蜜汁操作。。。不过话说丢了手机(手机卡)的话,如果不及时挂失,泄露的可能远远不止身份证号吧😢
ztcaoll222
2021-08-30 00:27:08 +08:00
还有把身份证写进 cookie 的操作?这时有人来个中间人攻击...
mschultz
2021-08-30 01:01:00 +08:00
@airdget SIM 卡 PIN
airdget
2021-08-30 11:42:01 +08:00
@mschultz
@harde
要是没设置的呢

帖子主要吐槽联通 app 身份证泄漏 不是给你们讨论 SIM PIN 码
harde
2021-08-30 12:46:08 +08:00
@airdget 那你就没必要写“要是手机丢了”,换成“如果遭遇中间人攻击. ........” 这样就好。
mschultz
2021-08-30 12:49:21 +08:00
@airdget #8 确实。那这便成了「手机丢了且别人可以拿我的手机卡接收短信」的问题,那各种 App 可能出现的隐私风险乃至财产风险就太多了,联通 App 的风险是成千上万个风险之一。

当然不能否认它存在,联通 App 此时的角色就像之前那篇文章《一部手机失窃而揭露的窃取个人信息的黑色产业链》( https://www.freebuf.com/articles/network/249294.html )里面的四川人社 App 一样:「坏人只要掌握手机号,就可以设法获取到号主的身份证号」。无论是通过四川人社 App 还是通过联通 App 。

像四川人社 /联通 App 这样安全不到位的 App 可能还有很多,普通用户不可能穷举完。唯一能做的也就是跟联通反馈一下,然后似乎没什么可讨论的了。

然后再讨论在这种情况下,普通用户如何保护自己?—— 那最终还是会回到 SIM PIN 这种话题上。
mschultz
2021-08-30 12:58:06 +08:00
@harde #8 就你在帖子中提出的问题,锁屏和 SIM 卡 PIN 本来就是可能的有效解决方案之一。你吐槽了一个问题,然后好像又说「这里不是给你们讨论解决方案的」…… 那……🤦‍♂️
eason1874
2021-08-30 14:53:59 +08:00
应该是不符合网络安全法的,建议工信部举报。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/798722

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX