V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
binaryify
V2EX  ›  互联网

支付宝数据库泄露?

  •  
  •   binaryify · 2019-03-23 13:14:49 +08:00 · 15671 次点击
    这是一个创建于 2105 天前的主题,其中的信息可能已经有所发展或是发生改变。

    相关推文:推特搜 Victor Gevers

    78 条回复    2019-03-24 18:22:54 +08:00
    hilbertz
        1
    hilbertz  
       2019-03-23 13:15:42 +08:00
    这很阿里
    nl101531
        2
    nl101531  
       2019-03-23 13:19:13 +08:00 via iPhone
    很大概率是假的...
    orangeade
        3
    orangeade  
       2019-03-23 13:20:02 +08:00
    有可能是第三方保存的?
    opengps
        4
    opengps  
       2019-03-23 13:21:58 +08:00
    如果真的早炸锅了
    zxqzw123
        5
    zxqzw123  
       2019-03-23 13:22:31 +08:00
    假的,这根本就不是这个意思。只是个记录罢了。阴谋论了
    ifxo
        6
    ifxo  
       2019-03-23 13:23:03 +08:00   ❤️ 1
    泄露的多了,只不过没曝光
    580a388da131
        7
    580a388da131  
       2019-03-23 13:29:08 +08:00 via iPhone   ❤️ 3
    这个人的有些爆料很奇怪
    Infernalzero
        8
    Infernalzero  
       2019-03-23 13:31:51 +08:00   ❤️ 3
    看起来是在带节奏,认为支付宝卖用户信息,但是这些信息根本就不能判断支付宝是否卖了用户信息给第三方,截图里根本没看出支付宝那边的信息,这些第三方应用自己也能收集。
    顺便楼主也是标题党,截图里也说了是第三方的数据库泄露了,带点脑子的就知道支付宝那些业务怎么可能用 mongodb 来存这些数据
    xiri
        9
    xiri  
       2019-03-23 13:31:57 +08:00 via Android   ❤️ 2
    怎么又是这个人?
    之前说中国社交媒体监控记录泄露的人也是他
    terence4444
        10
    terence4444  
       2019-03-23 13:35:16 +08:00 via iPhone
    上面都不看原文么,他说是支付宝的消费但是从三方数据库泄漏的。
    xiri
        11
    xiri  
       2019-03-23 13:40:52 +08:00 via Android
    @xiri 本来说附上他之前发的 twitter 链接的,结果弹出“请不要发布.......”,然后就直接 403 了,无语,,,,,
    换了个 ip 才重新上来的,,,,,,,
    Quaintjade
        12
    Quaintjade  
       2019-03-23 13:43:11 +08:00   ❤️ 1
    虽然我经常吐槽阿里 /蚂蚁,但这截图里看不出 ZFB 有什么过错。这些信息不都是用户自己提供给第三方的吗?
    估计这人不知道中国各种网站都会问你索要身份证、手机等信息,以为这些信息是 ZFB 泄露给第三方的。
    shuimugan
        13
    shuimugan  
       2019-03-23 13:47:25 +08:00 via Android
    准备好一千万了吗?
    hlwjia
        14
    hlwjia  
       2019-03-23 13:50:02 +08:00   ❤️ 1
    首先楼主你先要背锅,你标题党了,或者你没看懂英文。

    然后导致很多人也没看英文直接就喷,其实是那些操蛋的第三方。

    我觉得阿里应该更好地去审计这些合作方啊,这信息太敏感了,太完整了。
    binaryify
        15
    binaryify  
    OP
       2019-03-23 13:50:45 +08:00   ❤️ 1
    楼上几个兄弟心这么大的吗,手机身份证淘宝账号都被别人看来看去都觉得没啥,第三方泄露也还是支付宝的数据啊
    catalina
        16
    catalina  
       2019-03-23 13:55:09 +08:00
    怎么又是这家伙。。。
    这家伙是之前踢爆了 SenseNets 人脸识别数据库、多个社交网络(包括 QQ、微信、旺旺等)媒体监视数据库的那个人!!!
    catalina
        17
    catalina  
       2019-03-23 13:55:42 +08:00
    jugelizi
        18
    jugelizi  
       2019-03-23 13:57:54 +08:00
    确实 之前挖到一个站务系统里大量订单有 zfb 付款信息 付款账号 手机号什么的
    binaryify
        19
    binaryify  
    OP
       2019-03-23 14:00:19 +08:00
    @catalina 那个人本身就是研究漏洞的黑客来的
    mewpoi
        20
    mewpoi  
       2019-03-23 14:00:55 +08:00
    对接阿里的芝麻信用时候就发现了,获取信息还是比较简单的...
    Quaintjade
        21
    Quaintjade  
       2019-03-23 14:02:33 +08:00
    @binaryify
    问题在于这些信息究竟是 ZFB 在交易时返回给第三方的,还是第三方直接从用户取得的。如果是前者,那确实给得太多了;如果是后者,那和 ZFB 没任何关系。

    从绑了两个 TB/ZFB 账户来看,信息为第三方直接向用户索取的概率比较高。
    不过里面有一条 birth_address 很可能是从身份证照片上来的,那样的话要么网站要求用户上传身份证照片,要么是 ZFB 提供的数据。在不知道这是什么网站之前,很难判断是哪一种。
    Quaintjade
        22
    Quaintjade  
       2019-03-23 14:05:01 +08:00
    @mewpoi
    想问下对接芝麻信用能获得哪些字段信息?
    mewpoi
        23
    mewpoi  
       2019-03-23 14:06:53 +08:00   ❤️ 1
    @Quaintjade #22 身份证 手机号 姓名 等等
    huangdayu
        24
    huangdayu  
       2019-03-23 14:10:57 +08:00
    这些数据是如何拿到的?对第三方开放这么重要的数据?
    feiyuanqiu
        25
    feiyuanqiu  
       2019-03-23 14:12:44 +08:00 via Android   ❤️ 1
    bind 的过去时不应该是 bond 么
    guokeke
        26
    guokeke  
       2019-03-23 14:23:40 +08:00
    楼主有没有一千万?
    binaryify
        27
    binaryify  
    OP
       2019-03-23 14:26:19 +08:00
    @guokeke 你是觉得那里面的信息没有你?
    Coey
        28
    Coey  
       2019-03-23 14:41:58 +08:00
    天天都是 MongoDB 躺枪,笑
    guokeke
        29
    guokeke  
       2019-03-23 14:49:55 +08:00
    @binaryify 你是觉得那里面的信息有你?
    crab
        30
    crab  
       2019-03-23 14:50:46 +08:00
    @Coey 这黑客专门碰瓷 MongoDB - -#
    binaryify
        31
    binaryify  
    OP
       2019-03-23 14:55:28 +08:00
    @guokeke 你的心真大,佩服
    guokeke
        32
    guokeke  
       2019-03-23 14:57:57 +08:00
    @binaryify 不是我心大,是你心大,你有确定的证据是阿里泄露的吗?这么快就忘了 1 千万事件了?
    mmdsun
        33
    mmdsun  
       2019-03-23 15:00:25 +08:00 via Android
    之前阿里的飞猪就有漏洞,根据手机号码可以查人支付宝真实名字。。所以没有绝对的安全
    Coey
        34
    Coey  
       2019-03-23 15:11:48 +08:00
    @crab
    MongoDB 风评被害
    binaryify
        35
    binaryify  
    OP
       2019-03-23 15:16:16 +08:00
    @guokeke 第三方从支付宝那里拿到的信息被泄漏出去就不是你的信息了吗,除非你没用过支付宝吧
    catalina
        36
    catalina  
       2019-03-23 15:18:55 +08:00
    @binaryify 对啊,ethical hacker

    顺带,这货还把克里姆林宫的后门账号踢爆了,搜索 [email protected] 可得
    太爽了 wwwwwwww
    guokeke
        37
    guokeke  
       2019-03-23 15:20:39 +08:00
    @binaryify 我的意思是,你不怕阿里找你麻烦吗?
    binux
        38
    binux  
       2019-03-23 15:27:12 +08:00 via Android
    @binaryify 你确定我不用第三方,第三方也能从支付宝拿到信息?
    mario85
        39
    mario85  
       2019-03-23 15:30:43 +08:00 via iPhone
    如何不经过支付宝直接从用户中获得其身份证绑定了几个支付宝?
    这可是我自己都不知道的信息
    2589595915
        40
    2589595915  
       2019-03-23 15:31:38 +08:00 via iPhone
    算了,还是懒得说了。整些屁事。
    binaryify
        41
    binaryify  
    OP
       2019-03-23 15:36:53 +08:00
    @binux 所以别人能拿到我们的支付信息和个人隐私你觉得没问题?
    binux
        42
    binux  
       2019-03-23 15:37:51 +08:00 via Android
    @binaryify 我不用这个第三方就没问题啊
    orangeade
        43
    orangeade  
       2019-03-23 15:38:57 +08:00
    @xiri #9 网吧监控可是实事实
    danmary61
        44
    danmary61  
       2019-03-23 15:39:04 +08:00
    他推特最近挺热,之前有一篇爆的国内女性资料 mongoDB 你们研究了吗?但是有人说是婚恋网站的数据
    batman2010
        45
    batman2010  
       2019-03-23 15:40:21 +08:00 via Android
    @binux #42 原推说是阿里卖数据给第三方。
    binux
        46
    binux  
       2019-03-23 15:41:44 +08:00 via Android
    @batman2010 所以有证据是卖吗?
    binaryify
        47
    binaryify  
    OP
       2019-03-23 15:45:37 +08:00
    @binux 你怎么就知道你没用过这个第三方,阿里系很多软件吧,点个外卖就会涉及
    binux
        48
    binux  
       2019-03-23 15:49:05 +08:00 via Android
    @binaryify 首先,我不认为通过支付宝和第三方交易,第三方能拿到身份证号级别的数据。
    其次,我只用支付宝进行付款交易。
    完。
    binaryify
        49
    binaryify  
    OP
       2019-03-23 15:51:40 +08:00
    @binux 绑定的支付宝和淘宝账号第三方也没那么容易拿到的吧,你觉得第三方能随便采集到吗
    binux
        50
    binux  
       2019-03-23 15:58:11 +08:00 via Android
    @binaryify 那你觉得第三方能采集到任意一个人,即使和他没授权关系的人的支付宝账号吗?
    binaryify
        51
    binaryify  
    OP
       2019-03-23 16:10:43 +08:00
    @binux 可能是我没表述清楚吧,我想表达的是为什么阿里要给第三方这么详细的数据,被泄漏是第三方的责任,但是泄漏的信息详细到这种地步阿里不可能没关系,授权登陆或者评估信用需要这么多信息吗
    Quaintjade
        52
    Quaintjade  
       2019-03-23 16:24:53 +08:00   ❤️ 6
    找到接口的来源了:
    http://openapi-doc.fqgj.net/alipay.html

    之前就怀疑拥有这么详细的信息,是不是 p2p 平台,果然猜中了。
    所以这些信息并不是阿里 /蚂蚁提供的,而是由网贷信用机构提供的。
    lshero
        53
    lshero  
       2019-03-23 16:26:54 +08:00
    所以 Mongodb 的安全性应该怎么做呢?
    binux
        54
    binux  
       2019-03-23 16:28:23 +08:00
    @binaryify #51 因为阿里并没有给第三方这么详细的数据
    这些数据是来自借贷公司,Victor Gevers 的指控也只是卖了交易数据。
    Quaintjade
        55
    Quaintjade  
       2019-03-23 16:49:42 +08:00   ❤️ 3
    @binux
    应该是这家:钱粒科技
    www.qianli.com.cn
    openapi-doc.fqgj.net(斜杠)alipay.html

    从文档来看,这些数据是由“合作机构”提供给钱粒,而不是很多人以为的 ZFB 提供给商户。
    所以现在的问题是:这(些)“合作机构”是谁?他们是如何获取这么详细的 ZFB 交易信息?

    往坏的想,可能是 ZFB 有意提供或无意泄露给了这些合作机构。
    往好的想,可能这些“合作机构”是网贷公司,用户从他们借贷时需要向他们提供自己的 ZFB 登录信息,这样他们就能直接获取完整的 ZFB 交易流水。这种情况就和 ZFB 没关系了。
    我觉得后一种可能性比较高。
    binaryify
        56
    binaryify  
    OP
       2019-03-23 16:50:55 +08:00
    @binux 看来还真是借贷公司的锅,中国这互联网环境真的...个人信息满天飞,很难查到源头和追责,很多人也不关心
    Vitameans
        57
    Vitameans  
       2019-03-23 17:02:16 +08:00 via iPhone
    @feiyuanqiu bind 的过去式和过去分词都是 bound。
    JamesR
        58
    JamesR  
       2019-03-23 17:11:16 +08:00
    期待楼下阿里的人来洗地。
    shadownet
        59
    shadownet  
       2019-03-23 17:19:50 +08:00 via iPhone
    @terence4444 不懂英文估计
    binux
        60
    binux  
       2019-03-23 17:20:20 +08:00
    @Quaintjade 钱粒和这个接口提供方优借就是一家啊
    rockhu
        61
    rockhu  
       2019-03-23 17:22:03 +08:00
    阿里不怎么用 mongoDB 吧,一看就很怀疑。。
    Quaintjade
        62
    Quaintjade  
       2019-03-23 17:38:46 +08:00   ❤️ 2
    @binux
    我知道是一家啊。

    又看了下流程图,更新了一下理解
    http://openapi-doc.fqgj.net/sequencediagram.html
    优借(或者叫分期管家 app )是向用户提供分期的渠道,合作机构则是贷款公司。用户注册优借时会提供各种个人信息,绑定 ZFB、TB、银行卡等信息,所以优借获得了各种信息。
    当用户要买东西时,选择优借分期付款,其实就是申请一笔小贷。优借将这笔购物订单信息+用户详细个人信息发给合作机构,合作机构返回是否通过审批,然后处理放款等。

    关键就在于信息完全是由用户(借款人)主动提供的,这样的话 ZFB 自然没什么锅。
    feiyuanqiu
        63
    feiyuanqiu  
       2019-03-23 18:26:06 +08:00 via Android
    @Vitameans 是的,回复完就意识到记错了,但 V 站不支持编辑,又懒得再回帖了
    chinvo
        64
    chinvo  
       2019-03-23 20:06:56 +08:00
    @mewpoi #22 不能把,芝麻信用只能商家提交这些资料过去(也就是说商家可以偷偷记录),支付宝那边只返回 pass 之类的状态码
    mewpoi
        65
    mewpoi  
       2019-03-23 21:48:47 +08:00 via iPhone
    @chinvo 本来想说更多,想了想,还是算了,毕竟授权时候已经说明了,而且接入时候也有协议,收集不收集,出了事也不是支付宝方面的问题,其实也出不了什么事,现在哪个行业手头没点…
    zhangdawei
        66
    zhangdawei  
       2019-03-23 21:56:16 +08:00
    mingyun
        67
    mingyun  
       2019-03-23 23:08:59 +08:00
    mongodb 没密码?不可能吧
    Norie
        68
    Norie  
       2019-03-23 23:17:19 +08:00 via Android
    营销号
    tailf
        69
    tailf  
       2019-03-24 00:05:48 +08:00
    这不就是前几天那个北欧脑残吗。。。。。
    stevenhawking
        70
    stevenhawking  
       2019-03-24 00:41:39 +08:00
    开局一张图... 过程全靠编?
    人家都说了是第三方(third-party.)
    ZRS
        71
    ZRS  
       2019-03-24 03:28:51 +08:00
    这人的数据都是从网上不加密码的 MongoDB 上拖的...
    juded
        72
    juded  
       2019-03-24 10:51:10 +08:00
    这个推主吖,总想搞个大新闻。
    sobigfish
        73
    sobigfish  
       2019-03-24 11:18:12 +08:00
    大概率只是授权了手机号并且有支付,所以这个调用支付宝的 app 这边的服务器漏了。 而且看图像是自己服务器上存的使用支付宝的交易 log 吧。
    lingaoyi
        74
    lingaoyi  
       2019-03-24 11:45:57 +08:00
    微信会这样吗?
    xcold
        75
    xcold  
       2019-03-24 12:03:41 +08:00
    假的
    laoyuan
        76
    laoyuan  
       2019-03-24 12:58:20 +08:00
    用户自己在 p2p 上填的信息
    Salvation
        77
    Salvation  
       2019-03-24 13:08:51 +08:00
    这种很明显不可能是真的啊。。。。

    要不然早就爆炸了。
    orangeade
        78
    orangeade  
       2019-03-24 18:22:54 +08:00
    @tailf 啧 我看你这回复更
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1041 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 41ms · UTC 20:42 · PVG 04:42 · LAX 12:42 · JFK 15:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.