未分類
17 9 月 2020

京东已实名用户注意了,现在任何人都能通过你京东的手机号/邮箱/用户名查到你(姓以外)的实名信息

京东已实名用户注意了,现在任何人都能通过你京东的手机号/邮箱/用户名查到你(姓以外)的实名信息

資深大佬 : lzhw 1

方法很简单,京东找回密码,输入手机号 /邮箱 /用户名,下拉选择“修改关联手机号”,再选择“使用 关联新银行卡”,就可以在添加银行卡的页面看到对应京东用户的真实名字(*某某)和打了码的身份证号。(感谢/t/707160 #37 @Keng )

大家可以试着找回一下自己的密码就更清楚了。

刚刚担心完支付宝大概率能被人通过手机号拿到真实姓名,现在又轮到京东了,真的防不胜防,实在太恶心了。。

有京东的 V 友能帮忙反馈一下吗?不过找回一个密码,又不是转账,有必要在这里显示用户的真实名字吗?如果真的是自己在找回,也没必要显示,甚至连名字也可以做成校验项;如果不是自己在找回,自己的真实名字不就泄露给别有用心的陌生人了吗?

哪怕学支付宝和微信只显示最后一个字(**某)也好啊,显示全名真的简直了。。我在京东上实名可不是要你把我的名字随便给试图找回我密码的阿猫阿狗看的。。

希望京东能早日改进一下这里的显示,尊重和保护实名用户的隐私信息安全。

大佬有話說 (100)

  • 資深大佬 : matong009

    我擦,京东现在这么不小心吗,可以删除实名不??

  • 資深大佬 : lloovve

    验证了

  • 資深大佬 : lzhw

    @matong009 你不妨问问客服,应该可以删除吧

  • 資深大佬 : redtea

    已重现,不过个人感觉还是支付宝里网商银行的危害大,毕竟不是人人都有京东账号。

  • 資深大佬 : lzhw

    @redtea 我两边都中枪了

  • 資深大佬 : xunco

    重现,取消实名了,真坑

  • 資深大佬 : madNeal

    打码了呀

  • 資深大佬 : jon

    我也中枪了东哥你出卖兄弟啊

  • 資深大佬 : motai

    你们用其他的人手机号试试,没在你电脑登陆过的账户,过不了安全校验的

  • 資深大佬 : motai

    好像确实可以

  • 資深大佬 : azhi2007

    我早取消实名了 跟京东金融客服投诉了好几个回合才肯帮取消实名 非要手持证件照 我没同意

  • 資深大佬 : lzhw

    @madNeal 只打码了姓,名字不管几个字都是全部显示的,陌生人完全可以再结合支付宝转账的姓氏校验功能交叉验证撞出全名

  • 資深大佬 : PopRain

    用我的手机号,可以重现,用我老婆的手机号,不能重现。

  • 資深大佬 : paradoxs

    @xunco 重现,取消实名了,真坑
    ———
    能教一下你是怎么取消实名的吗?

  • 資深大佬 : ryanlid

    这只知道名字呀。还不是全名

    在营业厅帮他缴点费,发票上会有机主姓名,或者也可以缴费,输完号码营业员会问你是不是 某某

  • 資深大佬 : lzhw

    @motai 我试了,还是异地的好友,我这边从没登录过他的账号,只有第一步输入手机号 /邮箱 /用户名时做了个图形验证,之后的几步都是安全校验直接过,然后就成功进入添加他银行卡的页面,看到他的真实名字和打了码的身份证号了

  • 資深大佬 : lzhw

    @ryanlid 现在营业厅缴费获取的机主信息也是打了码的

    而且这种获取名字的方式也类似于通过转账然后看银行流水,被查的用户是有感知的,并不像京东找回密码这种完全可以在对方不知情的情况下获取对方名字,而且零成本门槛低无风险,我觉得京东这个还是更可怕也更容易被滥用吧

  • 資深大佬 : lzhw

    @PopRain 可能是尊夫人的京东账号只绑定了手机号没有用身份证银行卡实名过吧

  • 資深大佬 : lzhw

    @lloovve 是的,京东的这个通过添加银行卡来找回密码的机制应该对所有已实名用户都适用,也就是实名用户们全都中招躺枪

  • 資深大佬 : laoyur

    挺坑的,只隐藏了姓

    想起来还有个坑货,招商银行,以前发营销短信过来,都是直呼我全名的

  • 資深大佬 : lp10

    能看到真实名字(不含姓氏),以及身份证的第一位和最后一位。
    说是“查到你(姓以外)的实名信息”有点夸张,不过相当于手机号查名字,这个还是挺麻烦的

  • 資深大佬 : lzhw

    @matong009 根据#6 和#11 所说,应该确定是可以删除的

  • 資深大佬 : sagaxu

    快递单上姓名手机住址齐全,都泄露几百回了,

  • 資深大佬 : dji38838c

    作为 实名 /手机 /身份证 /地址 早已经在社工库里可以查到的人 (酒店泄露)

    已经无所谓了。

  • 資深大佬 : madNeal

    你们想什么呢,你以为你的全名在网络上还是隐藏的吗,你去 tg 的社工机器人查一下,搞不好身份证都有

  • 資深大佬 : lzhw

    @sagaxu 我收件人可以只填 X 先生 /X 女士,只透露姓,但是面对京东这种手机号查名字的漏洞,两相结合我真的不想爆粗口

  • 資深大佬 : lzhw

    @dji38838c
    @madNeal
    即使现在身份信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望京东能重视并解决这个问题~

  • 資深大佬 : reus

    无所谓,姓名身份证号这些,有恶意的早就掌握了,无恶意的拿来也没用。又不是密码,密码泄露了可能引诱犯罪,这些信息在我看来不算核心隐私。

  • 資深大佬 : lzhw

    @laoyur
    @lp10
    是的,还可以结合支付宝转账时的姓氏校验功能,交叉验证碰撞出全部真实姓名

  • 資深大佬 : vfxx

    我擦嘞

  • 資深大佬 : reus

    开发人员没有意识到姓氏的选择有限,而且分布集中,是一种设计失误,别说得好像别人故意要泄露似的。
    通常惯例是通知厂商,修复之后才公布。你就这么公布出来,批判京东是爽了,但实际是有害的行为。

  • 資深大佬 : madNeal

    @lzhw 应用的安全和便捷很多情况是有冲突的,如果有时候做的太过分就会影响正常的使用,最好是把我这个度,我觉得打码姓,身份证号只保留第一位和最后一位,我觉得是可以接受的。不然甚至都无法确定是不是自己的账户

  • 資深大佬 : sagaxu

    @lzhw 这不是一两家公司能解决的问题,除非 zf 强力推进,不然到处都是漏洞,小修小补无济于事

    @madNeal tg 能查,和随便什么人都能差,性质完全不同

  • 資深大佬 : lzhw

    @reus 之前在 /t/707160 “支付宝大概率能被人通过手机号拿到真实姓名”那个帖子里,#37 已经有人说了这个问题,并不是我先公布的

  • 資深大佬 : lzhw

    @sagaxu 能做一点算一点吧,所谓的有一分热,发一分光,如果什么都不做,那才是最绝望的啊

  • 資深大佬 : justd

    我也复现了…… 很害怕啊我现在跟光身子逛大街一样

  • 資深大佬 : RouJiANG14

    嗯?我的是都带星号的啊。。。姓名就光姓氏,身份证就第一位和最后一位。

  • 資深大佬 : ShuoHui

    “即使现在信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求” 说的太棒了。

  • 資深大佬 : Keng

    @reus 我是告诉了客服的,客服完全不在乎。
    我同时还说了另一个问题,京东早期用户用手机注册的时候默认的用户名是手机加_p,例如 13088888888_p,还不允许修改。客服就是不断重复:请理解。
    我们认为这是安全 bug,京东认为这是 feature 呢

  • 資深大佬 : Keng

    各位老哥也不用慌,要相信我们的这些信息早就入裤了…
    前几天 信息安全老骆驼 那篇文章确实让我慌了,赶紧检查自己相关信息,反复测试重要 app 的安全性、各种解绑改名、注销了闲置的银行卡、开了新手机号给银行用、注销美团、注销各种旅游和购票网站…
    结论就是:只要还有以京东和美团为代表的这些短板在,你再怎么挣扎都没用,一旦手机验证码失守你就裸奔了,只能尽可能保护好自己的手机…

  • 資深大佬 : lgq12172009

    已经反馈了 你们也可以去京东 src 提个漏洞 让安全去推这个事情

  • 資深大佬 : taobibi

    居然发现自己的全名被泄露了。感谢主及时发现这个漏洞
    主的观点很赞同,虽然我们在保护个人信息方面的力量很渺小。各种隐私泄露满天飞 ,但不意味着我们裸奔就是对的。
    信息保护和实名制的方式,真应该改进一下了

  • 資深大佬 : whoami9894

    修复了?我试了身份证号是加*的

  • 資深大佬 : wanyulaowang

    刚反馈 push 客服,客服要转到金融客服,不过已经登记了,等明天金融回电看看什么情况吧

  • 資深大佬 : lzhw

    @madNeal 支付宝和微信转账的时候也只显示对方姓名的最后一个字,这两家公司都认为这已经是“保护用户隐私”和“防止转错帐”之间的一个良好折中

  • 資深大佬 : kangsheng9527

    赔偿!

  • 資深大佬 : lzhw

    @Keng 谢谢你的说明,不过感觉真的好难受

  • 資深大佬 : ddefewfewf

    实名真好

  • 資深大佬 : lvybupt

    谢 @提醒。

    其实没什么可看的,都是有很大的隐私泄漏风险。像我们这种搞理论的,肯定觉得这是个毁灭级的漏洞了。
    也像之前那个帖子里回复的一样,你向他们开发反馈的话,他们只认为这是个 feature,不会认为这是个 bug 。

    不过我还是要给你打针安慰剂
    也没有什么过分恐慌的。
    验证码防爬虫,后面的安全组策略多次尝试会禁用 IP,这些基本配置都有,脱裤撞裤的风险有,但是不算太高。
    毕竟动态 IP 库+验证码识别+法律风险+低收益 获得两个打码的信息。有更多廉价渠道能获得大量的其他信息。

    我的建议还是手机号码隔离,注册绑定账号和常用手机号分开。
    没有人知道你的注册手机号和注册邮箱也就不会有后面的了

    其实最大的安全威胁目前还是来自于社会工程学。
    但是针对你展开社公的话,你的姓名和常用手机号一定早被它知道了,甚至生日住址学校等等。否则这么多人,选择一个 0 信息的人社工就是一个很迷的问题了。

  • 資深大佬 : kerro1990

    实名是为了防止电信诈骗,实名之后造成了精准电信诈骗。诈骗的人比我们自己更了解我们自己

  • 資深大佬 : lzhw

    @lvybupt 非常感谢!!

    我最担心的可能是之前在 /t/707160 #57 里说的那样,在网上不经意间得罪人,遭遇到人肉搜索和网络暴力。。很多网站我们只留了手机号,本来问题不大,但如果真实姓名也被人拿到了,能干的事就比较恶心了

    原谅我又拿微博举例子:假如我发了一条微博,有人看着不爽了,从之前泄露的微博 5.38 亿用户名-手机号数据库里通过我用户名查到了我绑定的手机号,就能用我们讨论的这几个漏洞撞出我的真实姓名,在微博上指名道姓的挂我骂我。。像这种“一言不合就给我来个网络暴力”可谓防不胜防啊

  • 資深大佬 : lzhw

    @kangsheng9527
    @ddefewfewf
    @kerro1990

  • 資深大佬 : xFrye

    真的很感谢主的提醒。。。。 我感觉你要是继续深挖下去会有更多的平台出现这样的漏洞

  • 資深大佬 : talentr9

    你要自由干什么?你要隐私干什么?

  • 資深大佬 : hafuhafu

    已复现。不过其实这个还算好了,和支付宝转账类似。不过如果只是要全名信息,用常用手机号大概率能直接获取。
    最近发现 QQ 号和绑定手机被泄露,而且是很新的数据。能查到我老 qq 号和旧绑定手机我丝毫不惊讶,但是能查到我没有加任何人的小号和去年刚办没怎么使用的手机卡我是没想到的。我都怀疑是否有内鬼了。

  • 資深大佬 : maxxfire

    君子坦蛋蛋,小人藏鸡鸡。不做亏心事,不怕鬼敲门。对于隐私问题,我早已麻木,也早已绝望。

  • 資深大佬 : Felldeadbird

    复现成功,确实如此。

    尽管数据处理过了。 但是名字能不能 去掉呀。。。

  • 資深大佬 : undef404

    这种不应该直接投诉工信部么?

  • 資深大佬 : yuhaijiang2019

    这种早就可以了啊,灰产想获得你信息太简单了,而且做灰产的极多(一般的户籍信息最便宜,只需要几十块钱,车辆信息 100 元左右,最贵的要数外卖和快递地址,市场价在几百到上千元。)-我们省新闻报道的,真的分分钟你住几号房都能给找出来

  • 資深大佬 : lzhw

    @xFrye 是啊,细思极恐啊,昨天讨论了“网商银行转支付宝大概率暴露姓名”的漏洞 /t/707160,紧接着就是京东这个,现在就怕马上又有其他平台的漏洞被曝出来

  • 資深大佬 : jeremaihloo

    有京东和支付宝的员工吗

    和你们公司反映一下吧

  • 資深大佬 : lzhw

    @maxxfire
    @yuhaijiang2019
    即使现在信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望京东能重视并解决这个问题~
    真不想破罐破摔啊

  • 資深大佬 : Unclev21x

    如果可以登录已实名账户,请使用已实名账户登录京东金融 App,点击 [(右下角)我的-头像-实名认证-(页面最下方)我的客服-取消实名] ,根据页面引导操作取消即可。
    如果无法登录已实名账户,请使用其他账户登录京东金融 App,点击 [(右下角)我的-头像-实名认证-(页面最下方)我的客服-找回实名] ,根据页面引导找回实名账户,然后继续使用或根据以上步骤操作取消实名。

    温馨提示:若您开通了 PLUS 会员,请在取消实名后的 3 个工作日内重新实名,否则 PLUS 会员会自动关闭。若您开通了白条闪付,取消实名需注销白条闪付,且白条闪付注销后无法恢复。实名认证取消完成后,会导致您账户内的钢镚余额直接按过期处理,无法再使用。

    plus 会员表示牛逼了。

  • 資深大佬 : HFX3389

    @Unclev21x #63 PLUS 会员集体表示很难受

  • 資深大佬 : keepeye

    复现了 身份号只能看到第一位和最后一位,也许结合社工库能还原出来?

  • 資深大佬 : lzhw

    @hafuhafu 实际上“网商银行转账支付宝大概率能拿到姓名”这个问题可能要更严重一些,因为转账页面提供了姓名校验功能,完全可以多次尝试输入常见姓来把全部真实姓名撞出来。。

    即使网商银行的那个漏洞修复了,支付宝转账还是能把姓试出来,和京东暴露的全名交叉验证一下也就能拿到全部真实姓名了。。不过好在支付宝这里可以关闭手机查找,这样别人就无法在支付宝里通过手机号搜索到自己的支付宝了(无法关闭的是网商银行对支付宝用户的手机查找,但是假设这个问题已经被修复)

    不管怎样,还是希望支付宝和京东的两个漏洞都能早日得到解决吧

  • 資深大佬 : yu3x1n0

    为啥找回密码的步骤是 输入账号 /手机号》选验证方式(手机+身份证 和 手机+历史收货)》手机验证码》输入部分身份证号码 》然后就到重置密码啦

  • 資深大佬 : shayang888

    好像没法注销实名啊

  • 資深大佬 : lzhw

    @Felldeadbird 是的啊,这只是个密码找回,又不是转账,显示用户名字是要干嘛。。自己找回自己的密码还能不知道自己叫什么吗。。反倒是被别有用心的陌生人看见了就麻烦了。。而且就算是转账,现在支付宝和微信都只是显示姓名的最后一个字了,京东这直接显示全名更是没道理。。

  • 資深大佬 : lzhw

    @yu3x1n0 往下拉找小字部分里的“修改关联手机号”

    @shayang888 看下#63 试试?

  • 資深大佬 : JellyDong

    9.16 试了一下,没有直接出来,不知道是不是修复了?
    为确认是您本人操作,请选择以下任一方式完成身份认证
    使用 E-mail 验证码 + 银行卡信息使用 手机短信验证码 + 身份 ID 使用 手机短信验证码 + 收货人姓名

  • 資深大佬 : lucas4585

    看这个》一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》
    https://mp.weixin.qq.com/s/LfKYjJvvFcnV7Mxp-7jsEw

  • 資深大佬 : datoujiejie221

    怪不得最近周围好几个人收到京东金条的诈骗电话,而且名字也准确

  • 資深大佬 : lzhw

    @lzhw 往下拉找小字部分里的“修改关联手机号”

  • 資深大佬 : lzhw

    @JellyDong 往下拉找小字部分里的“修改关联手机号”

  • 資深大佬 : yefuchao

    @JellyDong 我这里还可以看到

  • 資深大佬 : hejw19970413

    我自己亲测 好几遍,用谁的都可以,只要是实名过的

  • 資深大佬 : lzhw

    @datoujiejie221
    @yefuchao
    @hejw19970413
    是的,京东的这个通过添加银行卡来找回密码的机制应该是对所有已实名用户都适用,也就是实名用户们全都中招躺枪

  • 資深大佬 : Unclev21x

    @HFX3389 在京东的同学已经反馈了。

  • 資深大佬 : JellyDong

    @yefuchao
    @lzhw
    确实是…主要刚开的 PLUS,这….

  • 資深大佬 : hullhutt

    用火狐浏览器,提示:很抱歉,账号无可用认证方式
    谷歌浏览器和 edge 会暴露姓名

  • 資深大佬 : guanhui07

    还真的是

  • 資深大佬 : lzhw

    @JellyDong 我支付宝那边 /t/707160 和京东这边都中枪了,心情也是难以言表

  • 資深大佬 : leekafai

    工信部走起

  • 資深大佬 : zhbzhbzhbz

    @madNeal 没错~所以只能是说,类似邮箱这种用来找回密码的东西一定要单独设就行

  • 資深大佬 : lusi1990

    成功复现, 之前爬京东就发现有些接口是不需要验证就可以爬了

  • 資深大佬 : leeg810312

    各家的安全单独看是没有问题的,只显示姓或只显示名,共同使用才会产生安全漏洞,你不能单方面说是京东的问题或是阿里腾讯的问题。你能规定各家的安全规则一致吗?

  • 資深大佬 : sleepm

    58 啥的简历没人关注么
    只要设置不当,别人随意看
    哪年上的啥大学,叫啥,手机号,甚至驾照都能看到

  • 資深大佬 : showgood163

    @talentr9 已 b

  • 資深大佬 : lzhw

    @leeg810312 京东这个确实需要其他来源的信息交叉验证,但是我另一个帖子里提到的“网商银行转账支付宝大概率能拿到姓名”的漏洞 /t/707160 就完全不需要其他信息来源,通过转账页面的姓名校验功能输入常见姓氏进行碰撞就大概率能拿到对方真实姓名。。

    前十大姓(王李张刘陈杨赵黄周吴)的人口就占了全国人口的 44%,即使不知道一个人的姓氏,尝试校验 10 次就有 44%的概率得到 TA 的全名,再往后多试几次概率更大

  • 資深大佬 : DandelionFlowers

    一个支付宝转账 一个京东找回密码 …

  • 資深大佬 : ruixue

    吐了。。
    有京东和支付宝的员工吗?请和你们公司反映一下吧

  • 資深大佬 : MrZZZ

    @lzhw 细思极恐!!!我刚刚复现了一下,居然真的查出了一个随便输入的手机号的名字和部分银行卡号!!!
    我已经在内网上反馈这个事情了,后续应该有人会跟进,如果有回复,我会更新的!!!

  • 資深大佬 : TypeError

    推广实名制的都该死

  • 資深大佬 : SenLief

    我这面无法显示全名,只能显示一个字,以及身份证号的第一位和最后一位。其实这部分已经没有意义了,因为我这些注册的都是用了一个不用的手机号,只用来收验证码的。

  • 資深大佬 : lzhw

    @MrZZZ 谢谢!

  • 資深大佬 : lzhw

    @SenLief 确实是个好习惯,也建议大家都尽量多个手机号分离需求

    不过还是想提醒一下,也要小心我在#51 里说的,其他网站泄露了你专门注册用的手机号,然后被人肉和网络暴力的可能性。。

    还有,jd 泄露的就是除姓以外的真实名字,如果你只看到一个字,说明那个用户就是单字名,如果是双字名,就能看到两个字的~

  • 資深大佬 : SenLief

    @lzhw 哈哈,一般情况下其实姓名和手机号已经泄露的差不多了,就连身份证都基本上泄露了,你去 tg 上找,发现有很多的手持都。所以说都不用被爆破,目前泄露的就那么几家大的在泄露,这是在国内无法处理的事情。

    我小号 1 年一换,反正便宜。

  • 資深大佬 : QUIOA

    @hafuhafu 2.2 亿那个嘛

  • 資深大佬 : lzhw

    @DandelionFlowers 真的要