先说一下我是怎么发现的。我的支付宝是用邮箱做用户名的,手机号只是安全绑定,未开通手机号登录,同时也在隐私设置里关闭了“通过手机号找到我”的开关,平时偶尔需要收款都是直接发二维码或者报邮箱。这是前提。
昨天有朋友要转账给我,还没等我给他看二维码,他就在网商银行的转账页面里输入我的手机号找到了我的支付宝,页面还显示出了我的两个字的名,姓是星号,他输入我的姓校验成功后页面就直接显示了我的全名。
而根据我的隐私设置,如果他是在支付宝里输入我的手机号尝试搜索我的账号,只会弹出提示“账号不存在,或对方关闭了‘通过手机号找到我’隐私开关”。而且即使他扫二维码或者输入邮箱找到了我,现在支付宝转账页面也默认只会显示对方姓名的最后一个字(对于我这种姓名是三个字的来说,除了姓之外,名的第一个字也是星号),输入姓校验通过也不会显示全名,中间那个字还是星号。
而网商银行这边不但能通过手机号找到关闭了“通过手机号找到我”隐私开关的我,还能向对方显示我全部的两个字的名,校验姓通过后直接就是全名。考虑到前十大姓(王李张刘陈杨赵黄周吴)的人口就占了全国人口的 44%,意味着即使不知道一个人的姓氏,尝试校验 10 次就有 44%的概率得到 TA 的全名。
也就是说哪怕关闭了手机号登录,哪怕关闭了“通过手机号找到我”隐私开关,只要对方从某种渠道获得了我们的手机号(比如前段时间刷帖看到的微博泄露 5.38 亿用户名手机号关联数据库),就有近半概率能通过网商银行目前的转账功能直接获取我们的真实姓名,零成本还无风险,无疑是对个人隐私的很大威胁。想到这里我真是背脊一阵发凉。也想建议大家,在有手机号搜索功能的各种 APP 里设置昵称不要使用自己的真实姓名,尽可能降低被精准地推销骚扰钓鱼诈骗以及人肉搜索网络暴力的概率。
我又和朋友试了一下,我这边把“通过邮箱找到我”隐私开关也关闭了,这时候他在支付宝里无论是搜索手机号还是邮箱都找不到我,只能扫我的二维码来转账,而网商银行输入我的邮箱依然成功找到了我的账号,显示出我的名字。。
感觉支付宝现在在隐私防陌生人探测方面做的就挺好,而网商银行这里,可能这个功能推出没多久,针对这方面的考量还是欠一些。阿里的同学能否帮忙反馈一下,优化改进网商银行这里的逻辑,向支付宝的隐私设置看齐,否则支付宝专门开发的“通过手机号 /邮箱找到我”隐私开关和转账页默认只显示姓名最后一个字以保护用户隐私的举措就没有实际意义了。
谢谢。
1
singerll 2020-09-10 13:02:16 +08:00 via Android
提个题外话,只要有手机号,根本就不需要网商银行,运营商就行,而且拥有这个权利的职工多到你无法想象。
|
2
lzhw OP @singerll 是的,运营商当然可以查,但是这两年对这些地下产业链的打击力度是越来越大,不可能随便一个人问人家就给。之前看 B 站的视频,想通过运营商内鬼查询手机号机主信息,价格已经炒到了几百块,成本在这里很多想搞事的就熄了这个心了。但是网商银行这个不同,没有门槛,谁都可以尝试发起转账来碰撞姓名,风险自然就大得多了
|
3
vmebeh 2020-09-10 13:11:24 +08:00 via iPhone
现在手机号==身份证号
特别是疫情期间,各种村镇做的平台都是找的不知名小公司——实际这些平台也就一签到表的功能——现在身份信息都漏得差不多了 |
4
lzhw OP @vmebeh “身份信息都漏得差不多了”并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望网商银行能重视并解决这个问题~
|
5
vmebeh 2020-09-10 13:35:27 +08:00 via iPhone
@lzhw 只是表示有这个现象
顺便提醒一下还不知道这个可能性的人,毕竟疫情期间的通行码是 zf 主导,一般人都会觉得高大上 |
6
Zheming 2020-09-10 13:54:58 +08:00 via iPhone 1
如果支付宝人员没看到这个帖子,搞黑产的看到了...细思极恐
|
7
lzhw OP |
8
lzhw OP 我觉得阿里自身是有尊重和保护用户隐私的意愿的,否则也不会在支付宝里专门开发一个“通过手机号 /邮箱找到我”的隐私开关,供不希望陌生人随意搜索到自己的用户去关闭,转账页面也只显示姓名的最后一个字做验证,即使用户允许通过手机号搜索也不会轻易的泄露用户全部姓名~ 这些都显示出支付宝对用户隐私的尊重和保护,希望网商银行也能跟进实现一下,否则支付宝在隐私方面的“良苦用心”能被网商银行轻易绕过,不就尴尬得形同虚设了吗。。
|
9
passerbytiny 2020-09-10 17:17:48 +08:00 via Android
你怎么就确定这不是 Feture ?
|
10
fuchunliu 2020-09-10 17:24:35 +08:00 via Android
特意去网商银行 APP 搜了一圈,隐私设置只有把 支付宝中的网商银行关了这个功能。
|
11
Resource 2020-09-10 17:40:44 +08:00
根本不用这么麻烦,只要知道你的支付宝账号就能知道你的名字,不管你是啥邮箱还是手机号登录
|
12
lvybupt 2020-09-10 17:54:42 +08:00
有些银行的自动桂圆上,输出卡号,也会出来带*号的名字,这个是被当作 feature 的,为了给转账的人确认是不是没有输错账号。
网商这个也是明显当作 feature 来做的,要不然完全可以根本不显示任何内容。 |
13
lzhw OP @passerbytiny 请看我#8 的帖子,支付宝的 feature 就不是这样的,显然阿里也是有心想尊重和保护用户隐私的。而且网商银行这么一搞,支付宝的两个在隐私方面的贴心设置(可设置不允许通过手机号查找,以及只显示姓名的一个字)就形同虚设了
@fuchunliu 嗯啊。现在这个情况,只需要查找的人尝试用网商银行转账支付宝即可,根本不需要被查找的人也开通网商银行,哪怕他的支付宝已关闭“通过手机号找到我”的隐私开关也照查不误。所以无法在网商银行的隐私设置里找解决方案~ @Resource 太恐怖了吧,请问是如何操作的? |
14
Resource 2020-09-10 18:38:47 +08:00
@lzhw #13 弱智支付宝,只要我给某个支付宝用户转账,扣款从某些银行(比如工行)储蓄卡,支付宝会把转账人的姓名直接给到工行,然后转账记录里面就能看到
|
15
Resource 2020-09-10 18:39:39 +08:00
所以,给那个支付宝转个 0.01 就能知道支付宝账号的姓名了
|
17
lzhw OP @lvybupt 请看我#8 的帖子。显示带*号名字当然可以说是 feature,但是支付宝的 feature 就只显示一个字(微信支付也是),没道理网商银行的就要有两个字,而且重点在于网商银行现在可以绕过支付宝里的“不允许通过手机号找到我”的隐私设置,强制通过手机号查出对应的支付宝账号和不带姓的名,也很容易再通过姓氏校验功能碰撞出全名,就像#6 说的很可能被某些见不得光的产业链滥用(微信支付甚至默认关闭了手机号接收转账的功能,转账时也没有补全姓名校验的功能,大多数情况下根本无法通过输入陌生人的手机号来尝试拿到对方真实姓名)
现在手机号使用的范围和泄露的程度比银行卡号要大得多,通过手机号查机主姓名也比通过银行卡号查持卡者姓名“有市场”得多,所以我觉得网商银行在这个地方做的还是有欠考量,最起码这么一搞,支付宝的两个在隐私方面的贴心设置(可设置不允许被手机号查找,以及只显示姓名的一个字)就形同虚设了 |
18
lzhw OP @Resource 谢谢你的说明。这块我之前也有所耳闻,但是能看出这里还是有两个门槛的:
第一无法在被查找者完全不知情的情况下偷偷获取其姓名。如果自己账户莫名被转入了 1 分或 1 毛,肯定是有所警觉的(小心,自己有可能被人搞了),对方的账号自己这边也有记录(可以构成证据),支付宝的风控也不允许相关产业链大规模的批量转账(哪怕 1 分钱)来“碰撞攻击”他人姓名 第二如果支付宝用户关闭了“通过手机号 /邮箱找到我”的隐私开关,只知道他的支付宝账号名是没有用的,因为支付宝里压根搜不到,也就无从拿银行卡去转账了。这种情况下至少还得有他的收款二维码或者吱口令才行~ 简单说一来用户会察觉,二来用户可以通过相关隐私设置来预防此类人肉攻击 对应起来说,网商银行这块比较麻烦的就是: 第一门槛低无成本不涉及金钱流动,用户被陌生人碰撞出了姓名也是毫无察觉 第二无论用户是不是设置了无法被查找的隐私开关,只要有手机号或邮箱都可以照查不误,用户没有预防的措施 所以我觉得网商银行的这个强制查找支付宝用户的问题还是要比银行卡付款记录显示姓名的问题更容易被滥用也更值得注意😂 当然,哪怕银行卡付款记录显示姓名的问题确实更严重,我们也不希望破罐子破摔,啥都不 care 了,彻底放弃对隐私信息安全的追求,我觉得该说还得说,该反馈还得反馈嘛(#4) |
19
imn1 2020-09-10 20:01:26 +08:00
借楼问问题:
是否我有支付宝帐号,就默认开通了网商银行帐号?不需要我同意吗?还是支付宝协议里面就有这个? 如果是否,我还安心点…… |
20
lvybupt 2020-09-10 20:03:13 +08:00
@lzhw 你的疑问其实是没有问题的。 确实是有可能泄漏隐私。我很赞同你说的这些问题。但本质上不解决问题。
我也不在这两家企业工作,没必要为他们辩解。 我平时的工作是信息安全研究,包括隐私泄漏。我只是描述一下行业现状。 不过我提醒你一下 网商和支付宝实际上是蚂蚁金服下面的两家独立运营的公司。 他们的业务流程不同并不难理解。 其他银行现在也支持手机号转账功能,也是几乎显示所有姓名或直接不显示任何信息两种状态。 实际上这些也并不是完全没有防护状态的,至少爬虫是爬不进的。也就是任何人企图获得大量手机号到姓名的映射关联关系都会触发封孔甚至被宝镜处理。 另外,这个 feature 的由来很简单, 比起隐私泄漏存在可能的风险,直接转错人就是最直接的损失。而后者,才是银行业每天所面临的问题。 对于这个问题,我的建议也很简单。 1.为了手机号收付款的便捷性,面临隐私泄漏的风险。 2.直接关闭这个功能,包扩网上银行在内的所有银行,中农工建也不例外。 我自己从来不用这个功能。 |
22
ThirdFlame 2020-09-10 20:23:21 +08:00
@Resource 这不是支付宝弱智 ,是网联 /GUOjIA 要求的 为了防止洗钱。
|
23
lzhw OP @lvybupt 谢谢你的回复。还有几个疑问想请教下
目前支付宝和微信支付都是只显示姓名的最后一个字作为防错提醒,支付宝虽然提供了输入姓氏的进一步校验,但是三字姓名中间的那个字还是不会被陌生人轻易获取的,算是便利和隐私的一种比较好的折中,而且应该可以认为在这两家公司看来这种程度的验证就足以接受了。名字全部隐藏固然不可取,但是像网商银行现在这样直接显示两个字是不是有点太多了?希望网商银行能跟进支付宝的隐私保护举措,搞成只显示一个字的,隐私泄露的风险自然就能降低很多了,你建议的第一点不就更容易被接受了嘛,你说呢 至于你建议的第二点( 2.直接关闭这个功能,包括网商银行在内的所有银行,中农工建也不例外),我也想“直接关闭这个功能”,但现在网商银行无视支付宝用户的“关闭”设置,强制“开通”了支付宝的手机号收款功能,关闭不了啊😂目前这个问题无关网商银行自己的手机号便捷转账功能,而是网商银行面向支付宝用户的手机号便捷转账,这个本来应该是在支付宝中设置“不允许通过手机号查找到我的账号”的隐私选项而关闭的,但是现在的问题就是支付宝已经关闭了“他人便捷转账到我手机号”的功能,但在网商银行这边还是能强制通过手机号找到对应支付宝用户,并且拿到用户的不带姓的全名,等于说支付宝用户目前是无法真正关闭这个功能的,支付宝里的“不允许通过手机号找到我”的隐私设置形同虚设,这才是最尴尬的 “网商和支付宝实际上是蚂蚁金服下面的两家独立运营的公司”,这个我理解,可目前网商银行转账到支付宝的这个功能是和支付宝有着深度联系和交集的,他们的隐私控制选项无法做到协同显然会让支付宝更合理的隐私控制选项(可设置不允许被手机号查找,以及只显示姓名的一个字)被轻易绕过(必须能被手机号查找,以及显示姓名的两个字)而变得毫无意义。从这方面来讲,我认为请求网商银行尊重并跟进支付宝的隐私控制选项,只显示姓名的一个字并让用户能真正关闭手机号被查找,是正当而合理的,这么搞也不能说“本质上不解决问题”吧,你认为呢? |
24
lzhw OP @imn1 不是的,请放心
不过目前的问题是即使你没开通网商银行,只要别人开通了网商银行,他就能在网商银行里面通过手机号或邮箱找到你的支付宝,无论你有没有在支付宝里关闭“通过手机号 /邮箱找到我”隐私开关,而且转账页面显示的姓名信息比支付宝转账看到的更多更全,撞出全名更容易😂 |
25
lzhw OP @ThirdFlame 微信绑卡支付京东绑卡支付还有支付宝绑定部分银行的银行卡支付,在转账记录里也不会显示全名,并不是所有的绑卡支付都会这样,所以感觉这个理由有些微微站不住脚啊😂
|
26
imn1 2020-09-10 22:03:08 +08:00
|
27
TypeError 2020-09-10 22:12:37 +08:00 via Android 1
所以网商能显示非网商的支付宝的姓名?这么恶心?
|
28
lzhw OP @imn1 我也纳闷大家对这种事情为啥都那么淡定呢
网商银行搜索到的就是支付宝的信息,但就像是走了内部员工通道,权限更大,可无视支付宝用户的“不允许通过手机号查找到我”的设置,而且网商银行这里显示的支付宝用户的姓名信息也比支付宝显示的其他用户的姓名信息更多更全,说实话支付宝用户都没有网商银行用户的这般待遇,相较而言真的有种“高人一等”的感觉了😂反观支付宝用户,啥都不做就直接躺枪,本来以为大家都只能看到对方姓名的最后一个字,没料到网商银行的用户就是能看到两个字,而且不允许手机查找的隐私设置现在也就能对其他支付宝用户有作用,到网商银行用户这里就不灵了,也有种掩耳盗铃的感觉😂 |
29
lvybupt 2020-09-10 22:43:58 +08:00 1
@lzhw 这个实际上是因为有人的姓名只有两个字,系统统一显示的是名,姓撞车的概率太大了,它并没有判断二字还是三字,甚至四五六个字。其实本质上还是银行开发面向的服务大众甚至包括不会输入的人群。最早这个问题暴露的时候是连姓都不隐藏的,隐藏姓也是最近这几年的事情。至于为何不改进这个系统,银行本身业务层才是主营业务。以后可能会改进吧。
同理的还有移动服务。最早任何人报姓名可以直接查电话,后来报电话可以直接查姓名。到现在内部工作人员根据电话号码也只能查到星号和名,运营商系统已经做到需要读身份证并且用户签名才能显示完整的客户信息。 你后边这两段实际上说的是同一个问题。网商银行可以直接通过手机号转到某人的支付宝。这个过程会暴露 真实姓名。 抱歉,我现在没办法做测试, 我一开始理解错了。 你描述的确实是很严重的问题了。 这个问题是在于两个公司共享了账号表单,没有共享权限表单。 |
30
lzhw OP @TypeError 也不是直接显示全部姓名,而是显示的姓名信息里只隐藏了姓,名无论是几个字都是完全显示的,想撞出全名比支付宝更容易
但还是 imni 说的,没有授权,网商银行就能显示我的支付宝帐号,确实是个很严重的问题。现在就是,不管你支付宝有没有开通网商银行,只要绑定了手机号,网商银行的用户就能在转账页面输入手机号找到你的支付宝账号,哪怕你在支付宝里关闭了“通过手机号找到我”隐私开关也照查不误,在这里支付宝的隐私设置(关闭手机查找)被网商银行完全无视了 |
31
lzhw OP @lvybupt 明白你说的银行的业务改进的现状了,但具体到网商银行这里,毕竟是和支付宝集成度很高的互联网银行,印象中网商银行直接转账给支付宝的这个功能上线也没多久,同属阿里系的支付宝在这两个隐私设置上已经有相关实现在前,参考一下做出改进我认为不会像传统银行那样困难吧😂
更何况网商银行转账时查找到的支付宝用户信息说白了还是支付宝向网商银行提供的,所以即使网商银行就是不愿意做出改进,在网商银行用户查找支付宝用户时,支付宝完全可以直接用自家的接口帮忙提供用户信息,这时显示的肯定就是支付宝的(**某)而不是网商银行的(*某某)了吧~ 你认为呢 很高兴我终于说清楚了支付宝用户(关闭手机号查找)的隐私设置被网商银行完全无视了的这个问题,但是目前看来我们支付宝用户对此完全无能为力,请问你还有什么好的建议给大家吗 最后想问一下,关于 @imn1 在#26 说的,能否分享一下你的看法 谢谢! |
32
lvybupt 2020-09-11 09:02:44 +08:00 1
@lzhw #26 很遗憾支付宝的隐私条款里确实是必须点同意它与第三方才能共享信息的。 流氓条款不同意就没办法用。
我自己一直用 3 个手机号,做身份隔离。 而且这个方案用了将近十年,效果很好。 有一个只用来接收金融服务税务或者其他完全可靠的验证码,甚至 Apple id,steam 的绑定手机,平时不携带者,待机半个月冲一次电,把他们和 U 盾放到一起管理。这个号码只告诉对象父母的人。+8 元 常用联系人,告诉所有亲朋的稳定号码。长期不换,不捆绑乱七八糟网站的账号,主要接打电话为主。这个手机卡的垃圾短信往往来自于猪队友把通信录共享给了某些 app 。+30 元左右 第三张卡,绑定各种非重要号码,流量卡,接收快递外卖,账号丢失也可以用新手机号注册损失不大,只谈临时业务和工作的联系人也告诉这个号码。随意屏蔽短信。 换卡成本低,甚至换工作换环境或有新的优惠我都很有可能更换这张卡。200/年 邮箱也用类似的设置,而且邮箱可以自主编辑规则的方式更简单。三层权限的邮件,重要邮件、重要关键词自动转发。 如果足够有精力,虚构一个身份作为自己上网的形象会更有用。现在最主要的损失还是来自于诈骗和社会工程学。如果彪形大汉在网络上的发言虚构自己是一个活力无限的少女,骗子一开口说女士的时候就暴露了。 环境不好,自己保护自己。 |
36
lzhw OP 冒昧 at 请原谅,能否帮忙反馈一下,先谢谢了
@dashui @rowanhao @zshanjun @lukyers @aprilfool001 @bcdzc @ogko @BosenY @ouyangnandi @jlzhu |
37
imn1 2020-09-11 16:43:14 +08:00
唉,这种流氓条款真无奈
@lzhw 我感觉 @lvybupt #32 和我很像呢 我 7 个手机号(有两个还不是我名下),金融那个也是只有父母才知道 打电话的号码不跑流量、少注册什么,跑流量的号码通讯录是伪造的,然后几个用于注册的卡平时扔一边,再加一个收快递的号码放在功能机,没快递收就关机 支付宝、微信虽然主要用于移动支付,但性质和金融不同,也是分开号码 然后网上几个身份,工作、娱乐、爱好、亲友分开,写 Python 是其中一个爱好,就是这个帐号,其他地方(娱乐)难以发现我写程序,git 上的帐号跟 V2EX 毫无关系,我没在这边透露过 哈哈 不过百密一疏,有个理财产品(三方),我把联络电话留成金融那个,应该留另一个才对,现在偶尔接到一些投资的广告,唉 |
38
lzhw OP |
39
lzhw OP 阿里的 V 友们,看了帖子能帮忙反馈一下吗?谢谢了
|
40
mlgb 2020-09-13 18:48:27 +08:00
好像不能复现了
|
41
lzhw OP @mlgb 不好意思,刚刚试了下,依然是这样啊
我在支付宝的设置里关闭了“通过手机号找到我”的隐私开关,请朋友在支付宝里测试,是无法通过手机号找到我的,又请朋友在网商银行里测试,他还是可以在转账到支付宝那个页面通过输入我手机号找到我的支付宝,无视我支付宝已关闭手机号查找的隐私设置,而且他在网商银行的转账页面能看到的还是我除姓以外的全名(*某某),并没有像支付宝和微信一样只能看到我姓名的最后一个字(**某),哪怕他不认识我,用姓名校验功能试着输入几个常见姓也就能把我的全部真实姓名撞出来了😭 有兴趣的话可以根据我的描述操作一遍,亲自体验一下就更清楚了 还是希望能有个妥善的解决吧😭 |
42
lzhw OP 阿里的 V 友们,看了帖子能帮忙反馈一下吗?非常感谢
|