这是一个创建于 2070 天前的主题,其中的信息可能已经有所发展或是发生改变。
相关推文:推特搜 Victor Gevers
 |
1
hilbertz 2019-03-23 13:15:42 +08:00
这很阿里
|
 |
2
nl101531 2019-03-23 13:19:13 +08:00 via iPhone
很大概率是假的...
|
 |
3
orangeade 2019-03-23 13:20:02 +08:00
有可能是第三方保存的?
|
 |
4
opengps 2019-03-23 13:21:58 +08:00
如果真的早炸锅了
|
 |
5
zxqzw123 2019-03-23 13:22:31 +08:00
假的,这根本就不是这个意思。只是个记录罢了。阴谋论了
|
 |
6
ifxo 2019-03-23 13:23:03 +08:00  1
泄露的多了,只不过没曝光
|
 |
7
580a388da131 2019-03-23 13:29:08 +08:00 via iPhone 3
这个人的有些爆料很奇怪
|
 |
8
Infernalzero 2019-03-23 13:31:51 +08:00 3
看起来是在带节奏,认为支付宝卖用户信息,但是这些信息根本就不能判断支付宝是否卖了用户信息给第三方,截图里根本没看出支付宝那边的信息,这些第三方应用自己也能收集。
顺便楼主也是标题党,截图里也说了是第三方的数据库泄露了,带点脑子的就知道支付宝那些业务怎么可能用 mongodb 来存这些数据 |
 |
9
xiri 2019-03-23 13:31:57 +08:00 via Android 2
怎么又是这个人?
之前说中国社交媒体监控记录泄露的人也是他 |
 |
10
terence4444 2019-03-23 13:35:16 +08:00 via iPhone
上面都不看原文么,他说是支付宝的消费但是从三方数据库泄漏的。
|
|
11
xiri 2019-03-23 13:40:52 +08:00 via Android
@xiri 本来说附上他之前发的 twitter 链接的,结果弹出“请不要发布.......”,然后就直接 403 了,无语,,,,,
换了个 ip 才重新上来的,,,,,,, |
 |
12
Quaintjade 2019-03-23 13:43:11 +08:00 1
虽然我经常吐槽阿里 /蚂蚁,但这截图里看不出 ZFB 有什么过错。这些信息不都是用户自己提供给第三方的吗?
估计这人不知道中国各种网站都会问你索要身份证、手机等信息,以为这些信息是 ZFB 泄露给第三方的。 |
 |
13
shuimugan 2019-03-23 13:47:25 +08:00 via Android
准备好一千万了吗?
|
 |
14
hlwjia 2019-03-23 13:50:02 +08:00 1
首先楼主你先要背锅,你标题党了,或者你没看懂英文。
然后导致很多人也没看英文直接就喷,其实是那些操蛋的第三方。 我觉得阿里应该更好地去审计这些合作方啊,这信息太敏感了,太完整了。 |
 |
15
binaryify OP 1
楼上几个兄弟心这么大的吗,手机身份证淘宝账号都被别人看来看去都觉得没啥,第三方泄露也还是支付宝的数据啊
|
 |
16
catalina 2019-03-23 13:55:09 +08:00
怎么又是这家伙。。。
这家伙是之前踢爆了 SenseNets 人脸识别数据库、多个社交网络(包括 QQ、微信、旺旺等)媒体监视数据库的那个人!!! |
|
17
catalina 2019-03-23 13:55:42 +08:00
|
 |
18
jugelizi 2019-03-23 13:57:54 +08:00
确实 之前挖到一个站务系统里大量订单有 zfb 付款信息 付款账号 手机号什么的
|
 |
20
mewpoi 2019-03-23 14:00:55 +08:00
对接阿里的芝麻信用时候就发现了,获取信息还是比较简单的...
|
|
21
Quaintjade 2019-03-23 14:02:33 +08:00
@binaryify
问题在于这些信息究竟是 ZFB 在交易时返回给第三方的,还是第三方直接从用户取得的。如果是前者,那确实给得太多了;如果是后者,那和 ZFB 没任何关系。 从绑了两个 TB/ZFB 账户来看,信息为第三方直接向用户索取的概率比较高。 不过里面有一条 birth_address 很可能是从身份证照片上来的,那样的话要么网站要求用户上传身份证照片,要么是 ZFB 提供的数据。在不知道这是什么网站之前,很难判断是哪一种。 |
|
22
Quaintjade 2019-03-23 14:05:01 +08:00
@mewpoi
想问下对接芝麻信用能获得哪些字段信息? |
|
23
mewpoi 2019-03-23 14:06:53 +08:00 1
@Quaintjade #22 身份证 手机号 姓名 等等
|
 |
24
huangdayu 2019-03-23 14:10:57 +08:00
这些数据是如何拿到的?对第三方开放这么重要的数据?
|
 |
25
feiyuanqiu 2019-03-23 14:12:44 +08:00 via Android 1
bind 的过去时不应该是 bond 么
|
 |
26
guokeke 2019-03-23 14:23:40 +08:00
楼主有没有一千万?
|
 |
28
Coey 2019-03-23 14:41:58 +08:00
天天都是 MongoDB 躺枪,笑
|
 |
33
mmdsun 2019-03-23 15:00:25 +08:00 via Android
之前阿里的飞猪就有漏洞,根据手机号码可以查人支付宝真实名字。。所以没有绝对的安全
|
|
36
catalina 2019-03-23 15:18:55 +08:00
|
 |
39
mario85 2019-03-23 15:30:43 +08:00 via iPhone
如何不经过支付宝直接从用户中获得其身份证绑定了几个支付宝?
这可是我自己都不知道的信息 |
 |
40
2589595915 2019-03-23 15:31:38 +08:00 via iPhone
算了,还是懒得说了。整些屁事。
|
 |
44
danmary61 2019-03-23 15:39:04 +08:00
他推特最近挺热,之前有一篇爆的国内女性资料 mongoDB 你们研究了吗?但是有人说是婚恋网站的数据
|
 |
45
batman2010 2019-03-23 15:40:21 +08:00 via Android
@binux #42 原推说是阿里卖数据给第三方。
|
 |
46
binux 2019-03-23 15:41:44 +08:00 via Android
@batman2010 所以有证据是卖吗?
|
|
48
binux 2019-03-23 15:49:05 +08:00 via Android
|
|
51
binaryify OP @binux 可能是我没表述清楚吧,我想表达的是为什么阿里要给第三方这么详细的数据,被泄漏是第三方的责任,但是泄漏的信息详细到这种地步阿里不可能没关系,授权登陆或者评估信用需要这么多信息吗
|
|
52
Quaintjade 2019-03-23 16:24:53 +08:00 6
找到接口的来源了:
http://openapi-doc.fqgj.net/alipay.html 之前就怀疑拥有这么详细的信息,是不是 p2p 平台,果然猜中了。 所以这些信息并不是阿里 /蚂蚁提供的,而是由网贷信用机构提供的。 |
 |
53
lshero 2019-03-23 16:26:54 +08:00
所以 Mongodb 的安全性应该怎么做呢?
|
|
54
binux 2019-03-23 16:28:23 +08:00
|
|
55
Quaintjade 2019-03-23 16:49:42 +08:00 3
@binux
应该是这家:钱粒科技 www.qianli.com.cn openapi-doc.fqgj.net(斜杠)alipay.html 从文档来看,这些数据是由“合作机构”提供给钱粒,而不是很多人以为的 ZFB 提供给商户。 所以现在的问题是:这(些)“合作机构”是谁?他们是如何获取这么详细的 ZFB 交易信息? 往坏的想,可能是 ZFB 有意提供或无意泄露给了这些合作机构。 往好的想,可能这些“合作机构”是网贷公司,用户从他们借贷时需要向他们提供自己的 ZFB 登录信息,这样他们就能直接获取完整的 ZFB 交易流水。这种情况就和 ZFB 没关系了。 我觉得后一种可能性比较高。 |
|
56
binaryify OP @binux 看来还真是借贷公司的锅,中国这互联网环境真的...个人信息满天飞,很难查到源头和追责,很多人也不关心
|
 |
57
Vitameans 2019-03-23 17:02:16 +08:00 via iPhone
@feiyuanqiu bind 的过去式和过去分词都是 bound。
|
 |
58
JamesR 2019-03-23 17:11:16 +08:00
期待楼下阿里的人来洗地。
|
 |
59
shadownet 2019-03-23 17:19:50 +08:00 via iPhone
@terence4444 不懂英文估计
|
|
60
binux 2019-03-23 17:20:20 +08:00
@Quaintjade 钱粒和这个接口提供方优借就是一家啊
|
 |
61
rockhu 2019-03-23 17:22:03 +08:00
阿里不怎么用 mongoDB 吧,一看就很怀疑。。
|
|
62
Quaintjade 2019-03-23 17:38:46 +08:00 2
@binux
我知道是一家啊。 又看了下流程图,更新了一下理解 http://openapi-doc.fqgj.net/sequencediagram.html 优借(或者叫分期管家 app )是向用户提供分期的渠道,合作机构则是贷款公司。用户注册优借时会提供各种个人信息,绑定 ZFB、TB、银行卡等信息,所以优借获得了各种信息。 当用户要买东西时,选择优借分期付款,其实就是申请一笔小贷。优借将这笔购物订单信息+用户详细个人信息发给合作机构,合作机构返回是否通过审批,然后处理放款等。 关键就在于信息完全是由用户(借款人)主动提供的,这样的话 ZFB 自然没什么锅。 |
|
63
feiyuanqiu 2019-03-23 18:26:06 +08:00 via Android
@Vitameans 是的,回复完就意识到记错了,但 V 站不支持编辑,又懒得再回帖了
|
 |
64
chinvo 2019-03-23 20:06:56 +08:00
@mewpoi #22 不能把,芝麻信用只能商家提交这些资料过去(也就是说商家可以偷偷记录),支付宝那边只返回 pass 之类的状态码
|
|
65
mewpoi 2019-03-23 21:48:47 +08:00 via iPhone
@chinvo 本来想说更多,想了想,还是算了,毕竟授权时候已经说明了,而且接入时候也有协议,收集不收集,出了事也不是支付宝方面的问题,其实也出不了什么事,现在哪个行业手头没点…
|
 |
66
zhangdawei 2019-03-23 21:56:16 +08:00
呵
|
 |
67
mingyun 2019-03-23 23:08:59 +08:00
mongodb 没密码?不可能吧
|
 |
68
Norie 2019-03-23 23:17:19 +08:00 via Android
营销号
|
 |
69
tailf 2019-03-24 00:05:48 +08:00
这不就是前几天那个北欧脑残吗。。。。。
|
 |
70
stevenhawking 2019-03-24 00:41:39 +08:00
开局一张图... 过程全靠编?
人家都说了是第三方(third-party.) |
 |
71
ZRS 2019-03-24 03:28:51 +08:00
这人的数据都是从网上不加密码的 MongoDB 上拖的...
|
 |
72
juded 2019-03-24 10:51:10 +08:00
这个推主吖,总想搞个大新闻。
|
 |
73
sobigfish 2019-03-24 11:18:12 +08:00
大概率只是授权了手机号并且有支付,所以这个调用支付宝的 app 这边的服务器漏了。 而且看图像是自己服务器上存的使用支付宝的交易 log 吧。
|
 |
74
lingaoyi 2019-03-24 11:45:57 +08:00
微信会这样吗?
|
 |
75
xcold 2019-03-24 12:03:41 +08:00
假的
|
 |
76
laoyuan 2019-03-24 12:58:20 +08:00
用户自己在 p2p 上填的信息
|
 |
77
Salvation 2019-03-24 13:08:51 +08:00
这种很明显不可能是真的啊。。。。
要不然早就爆炸了。 |
Select Language