未分類
2020 年 9 月 18 日

支付宝用户们注意了,现在只要有人知道了你绑定支付宝的手机号,(不需要转账)就大概率能拿到你的真实姓名

支付宝用户们注意了,现在只要有人知道了你绑定支付宝的手机号,(不需要转账)就大概率能拿到你的真实姓名

資深大佬 : lzhw 4

按理说支付宝在转账时只显示对方姓名的最后一个字,即使陌生人通过手机号搜索到自己的支付宝也很难获取自己的完整姓名,而且支付宝还在设置里提供了“通过手机号找到我”隐私开关可供有需求的用户关闭,彻底防止被陌生人用手机号搜索到自己的支付宝,但实际上支付宝这两个保护隐私的贴心设置在不久前已经能被网商银行的转账功能绕过而形同虚设了。

现在即使你没开通网商银行,并在支付宝里关闭了“通过手机号找到我”隐私开关,其他支付宝用户都无法通过手机号找到你,但网商银行用户依然能利用转账到支付宝的功能通过输入你的手机号强行找到你的支付宝,无视你支付宝已关闭手机号查找的隐私设置。

而且更关键的是其他人在网商银行的转账页面能直接看到你除姓以外的全名(*某某),不像支付宝和微信只能看到最后一个字(**某)。由于转账页面还提供了补全姓氏验证的功能,而前十大姓(王李张刘陈杨赵黄周吴)的人口就占了全国人口的 44%,所以即使不知道一个人的姓氏,尝试校验 10 次就有 44%的概率得到 TA 的全名,再往后多试几次概率更大。这样任何一个人都能很容易利用姓名校验功能输入常见姓氏撞出你的真实姓名,并不需要真的转账给你,零成本还无风险,无疑是对个人隐私的很大威胁。而你面对这种人肉搜索又没有任何办法(甚至你自己根本都不会知道已经被人 get 了机主真实姓名)~

上周我发了一个问题报告在全球工单节点 /t/705774,直到现在还没有得到任何阿里的人员的回应,更不用说修复了,觉得有必要新开一个帖提醒一下大家。提醒大家不要再相信关闭支付宝“通过手机号找到我”隐私开关就谁也没法用手机号找到你支付宝(网商银行用户照样能找),不要再相信大家转账支付宝前都只能看到对方姓名最后一个字(网商银行用户就是能看到两个字)。

由于我们用户没有任何措施来预防此类人肉搜索,只能希望网商银行能尽早尊重并同步支付宝的隐私设置(转账页只显示姓名的最后一个字,以及用户关闭了手机号查找那就是不能用手机号找)。不过我从另一个角度希望能给比较看重隐私的 V 友们一个建议(感谢 @lvybupt @imn1),建议把支付宝绑定的手机号改成使用频率低的专用号码,否则如果你用支付宝绑定的手机号同时注册了一堆网站,只要任一网站泄露了你的手机号(比如前段时间刷帖看到的微博泄露 5.38 亿用户名手机号关联数据库)几乎就等于同时泄露了你的真实姓名,随之而来的怕是更加精准的推销骚扰钓鱼诈骗以及更加容易的人肉搜索网络暴力了吧~

大佬有話說 (93)

  • 資深大佬 : 672795574

    的确是个漏洞吧,但是知道手机号的情况下,我个人感觉知道姓名聊胜于无

  • 資深大佬 : allenby

    有手机号,充个话费就知道名字了

  • 資深大佬 : giter

    所以 GV 号的需求就来了

  • 資深大佬 : thonatos

    感谢提醒,已进行内部反馈,等候相关同学核实中。

  • 資深大佬 : Leonard

    我支付宝绑的 GV 号,能拿到我的真实姓名吗

  • 資深大佬 : a0000

    @672795574 被骗子利用就麻烦了,骗子可以随便用手机号去测名字,再打电话:喂,是张三吗?吧啦吧啦

  • 資深大佬 : crokily

    昨天去采耳,在美团上付款,付完以后美团的订单还挺正常的,就是显示店名。
    但是在银行 APP 里查收支明细,“美团点评-王 X”明明白白地把真名显示出来了……

  • 資深大佬 : redtea

    要是绑了电子邮箱,会显示前几位,这样如果是姓名拼音就危险了。

  • 資深大佬 : kangsheng9527

    可以设置不能通过手机号查找

  • 資深大佬 : Nicoco

    有手机号,充个话费就知道名字了

  • 資深大佬 : tiantangtianma

    @Nicoco 怎么可能呢

  • 資深大佬 : lzhw

    @672795574 也有很多情况是只想留手机号并不想留真实姓名的啊,比如各种国内网站的注册,因为 SMZ 的要求,我提交了我的手机号,如果真犯了事有关部门可以来抓我,但是并不意味着没事的时候我就希望网站知道我的真实姓名,给我发各种亲爱的 XXX 广告骚扰,如果网站再把我姓名-手机号信息卖给骗子的话我肯定更是烦不胜烦。

    而且很多时候网站的数据安全做的不到位,把我的手机号泄露了出去,这种情况下别人未经授权知道了我的手机号,本来已经很恶心了,如果再知道姓名那就更恶心了。请允许我再用微博举个例子,除了公众人物大多数用户在微博上都是用昵称交流,注册也都是只留了手机号并没有填写真实姓名,之前那波 5.38 亿用户名-手机号数据库泄露也不涉及姓名信息。但是现在的话如果我哪天发了一条微博,有人看着不爽了,在泄露的数据库里通过用户名查到了我绑定的手机号,然后用网商银行转支付宝的这个漏洞撞出我的真实姓名,在微博上指名道姓的挂我骂我,你觉得我会是啥感觉?

  • 資深大佬 : lzhw

    @allenby
    @Nicoco
    现在已经不行了,都是打了码的
    而且这种获取名字的方式也类似于通过转账然后看银行流水,被查的用户是有感知的,并不像网商银行这种完全可以在对方不知情的情况下获取对方姓名

  • 資深大佬 : Johnny168

    搞半天你以为手机实名是来搞笑的吗

  • 資深大佬 : 672795574

    @lzhw 确实。 不过对我来说手机号和名字,骚扰电话知道手机号和都知道没啥区别。
    另外还有个更骚的,房产中介通过车牌号就能查到我手机和名字。 理论上个人也可能有渠道。

  • 資深大佬 : lzhw

    @thonatos 非常感谢!

  • 資深大佬 : lzhw

    @redtea 是啊,转账页面会显示邮箱的前三位,如果包含姓的拼音,那基本上一猜一个准

  • 資深大佬 : ifxo

    快递早就把你卖了,支付宝这个都不算啥事

  • 資深大佬 : lzhw

    @Leonard 不好意思,没条件测试通过 GV 号的搜索,你可以请身边有网商银行账户的朋友测试一下,让他在转账支付宝的页面输入你的美国号码看看能不能定位到你的支付宝

  • 資深大佬 : lzhw

    @crokily 如果有时间的话可以看看我在 /t/705774 里 #18 的帖子,描述的情况应该和你的比较像

  • 資深大佬 : lzhw

    @kangsheng9527 不好意思,现在的问题就是即使你在支付宝里关闭了“通过手机号找到我”隐私开关,其他支付宝用户都无法通过手机号找到你,但网商银行用户依然能利用转账到支付宝的功能通过输入你的手机号强行找到你的支付宝,也就是说这个设置已经形同虚设了

  • 資深大佬 : lzhw

    @Johnny168 请看我#12 的帖子

    手机(对运营商 /有关部门)实名和任何人都能通过手机找到我的实名是两码事

  • 資深大佬 : lzhw

    @ifxo 即使现在身份信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望网商银行能重视并解决这个问题~

  • 資深大佬 : Leonard

    @ifxo 快递可以写假名

  • 資深大佬 : lzhw

    @672795574 这个确实很恶心。。希望隐私保护大环境能越来越好吧

    不过知道了姓名就能更加精准的推销骚扰钓鱼诈骗以及更加容易的人肉搜索网络暴力了,我觉得还是不要破罐子破摔的好,能争取还是尽量争取吧

  • 資深大佬 : monkey110

    没影响啊 我支付宝头像就是个人真名签名 基本只有认识的人才加 普通给我联系 我一听不认识直接顺手拉黑 银行移动联通类客服拉黑的也不少 至今也没出过事

  • 資深大佬 : lzhw

    @Leonard 想冒昧问一下,GV 号本身是不需要实名的,但是你这样绑定在了实名的支付宝上,不就相当于变相的实名了你的 GV 号了吗?这种“实名”了之后的 GV 号用在其他地方不会不方便吗?

  • 資深大佬 : kidult

    想多了,现在递快递都要实名+身份证了

  • 資深大佬 : nicevar

    这时候名字就很重要了,我很多地方都用真实名字,毕竟我的名字同名全国能排前二十,同名的有二十多万。。。
    别说支付宝了,买个车险分分钟就泄漏手机号+名字

  • 資深大佬 : lzhw

    @redtea 另外提一句,如果支付宝绑了电子邮箱,在设置里关闭“通过邮箱找到我”隐私开关也是没有用的,其他支付宝用户虽然无法再通过邮箱找到自己,但是网商银行用户依然可以直接输入邮箱找到,显示自己信息的界面和手机号搜索到的一样

  • 資深大佬 : lzhw

    @kidult
    @nicevar
    即使现在身份信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望网商银行能重视并解决这个问题~真的不想破罐子破摔啊

  • 資深大佬 : zhoushiya

    支付宝用户们注意了,现在只要有人知道了你绑定支付宝的手机号,(不需要转账)就大概率能拿到你的真实姓名

  • 資深大佬 : nicevar

    @lzhw 不是破罐子破摔啊,目前的环境没办法,到处都是泄漏,收寄快递、办会员卡、疫情管控信息录入等等,根本是防不胜防,所以我都是用多个手机号,分离需求

  • 資深大佬 : lzhw

    @nicevar 唉,确实,针对网商银行转支付宝的这个姓名碰撞漏洞,在厂商修复之前我觉得我们自己能做的也无非就是多个手机号分离需求了

  • 資深大佬 : Leonard

    @lzhw 你说的有一定道理,但对我来说 GV 号最大的作用就是杜绝了绝大多数的垃圾短信和骚扰电话,而且不影响我换手机号。现在的时代不存在绝对的匿名,所谓实名不实名,也只是增加获取个人信息的门槛而已,通过支付宝实名来确认 GV 所属人信息这个门槛已经能过滤绝大多数隐私泄露的情况了。

  • 資深大佬 : lzhw

    @thonatos 多说一句请恕我冒昧,我之前在工单节点发布的帖子对此讨论的更详细,希望你能一并反馈给内部同学
    https://www.v2ex.com/t/705774
    再次感谢!

  • 資深大佬 : Keng

    京东 找回密码的时候,选择 「修改关联手机号」,再选择 「使用 关联新银行卡」,也是可以看到全名的(*某某)。

  • 資深大佬 : lzhw

    @Leonard 明白了,谢谢你的解释

    但是还想提醒一下,针对本帖讨论的这个漏洞,关闭了支付宝的“通过手机号找到我”隐私开关,网商银行搜索美国号码也是很可能能搜的到对应的支付宝的,如果你的姓氏还是较为常见的那种,你所说的“通过支付宝实名来确认 GV 属人信息这个门槛”就很可能低到了是个人都可以利用的程度了

  • 資深大佬 : imn1

    @Keng #37
    哇咔咔咔……苦笑
    这世界真是防不胜防……不过京东我好像没实名(指的是仅有手机号,没传身份证)

  • 資深大佬 : lzhw

    @Keng 我去,这么恶心,简直了

  • 資深大佬 : nmdx

    首先,支付宝能看到后两个字
    其次,试姓是有次数限制的。。当然你有多个号的话

  • 資深大佬 : lzhw

    @nmdx 支付宝现在转账是只会显示对方姓名的最后一个字的

  • 資深大佬 : nmdx

    @lzhw 是转账啊 难不成我版本旧了? 微信最近有次转账倒是记得是一个字的

  • 資深大佬 : zhuweiyou

    支付宝会显示后面的字,然后你选择银行卡转账,付 0.01 元,银行短信会显示全名.(我的是招商银行,不知道别的银行是不是也显示)

  • 資深大佬 : menghan

    根据 lz id 和 lz 的内容,我简单社工一下,lz 应该姓李 or 刘

  • 資深大佬 : littiefish

    关闭手机搜索

  • 資深大佬 : lzhw

    @nmdx 那你可以再看一下,现在支付宝尝试给他人转账确实是只显示对方姓名的最后一个字的(**某),和微信一样

  • 資深大佬 : lzhw

    @zhuweiyou 如果有时间的话可以看看我在 /t/705774 里 #18 的帖子,描述的情况应该就是你说的这个

  • 資深大佬 : lzhw

    @menghan 还是姓太常见太好猜了,所以就不是大概率能被拿到真实姓名了,是肯定能被拿到,很慌啊好吧

  • 資深大佬 : lzhw

    @littiefish 不好意思,现在的问题就是即使你在支付宝里关闭了“通过手机号找到我”隐私开关,其他支付宝用户都无法通过手机号找到你,但网商银行用户依然能利用转账到支付宝的功能通过输入你的手机号强行找到你的支付宝并看到(*某某)这样的名字,也就是说“关闭手机搜索”这个设置已经形同虚设了

  • 資深大佬 : iphoneXr

    我手机设置为只接听通讯录电话了
    后面就不在乎电话骚扰了

  • 資深大佬 : lzhw

    @iphoneXr 现在也不只是担心骚扰诈骗啊,被人肉网络暴力也是很吓人的

  • 資深大佬 : ncepuzs

    经我测试,确实,通过支付宝转账名字中间字是不显示的,通过网商银行转对方支付宝除了姓氏其他全给你显了。草……

  • 資深大佬 : lzhw

    @ncepuzs 嗯啊,而且支付宝关闭手机号搜索也没用,网商银行照样能通过手机号找到绑定的支付宝和真实名字

  • 資深大佬 : cccRaim

    拿到真实姓名后会有什么危险性呢?

  • 資深大佬 : iphoneXr

    @lzhw 所以我们需要双卡手机和副卡,主号就保卡套餐好了

  • 資深大佬 : lzhw

    @cccRaim 可以看下我#12 的帖子,简而言之推销骚扰钓鱼诈骗更加精准,人肉搜索网络暴力更加容易,尤其是后者,很多网站我们只留了手机号,本来问题不大,但如果真实姓名也被人拿到了,能干的事就比较恶心了

    原谅我又拿微博举例子:假如我发了一条微博,有人看着不爽了,从之前泄露的微博 5.38 亿用户名-手机号数据库里通过我用户名查到了我绑定的手机号,就能用网商银行转支付宝的这个漏洞撞出我的真实姓名,在微博上指名道姓的挂我骂我,可谓防不胜防啊。。

  • 資深大佬 : lzhw

    @iphoneXr 唉,确实是这样的,遇到现在这样的问题我们自己能做的真的不多,无非就是多个手机号分离需求了

  • 資深大佬 : TypeError

    美国很多虚拟号 用好了可以艹它丫的实名制

  • 資深大佬 : lzhw

    @lvybupt 冒昧 at 请原谅,请问你对#37 @Keng 说的京东密码找回过程暴露用户真实名字的问题有什么看法吗

  • 資深大佬 : ke1vin

    那么网商银行为什么要显示名呢。。。?

  • 資深大佬 : vfxx

    妈的,我通过 12321 举报骚扰电话,没想到被举报人能查到,被举报的那个人找过来了,拿着电话录音问我为什么投诉,让我撤销。还给了支付宝输入名字的截图,我把手机号隐藏了,没想到防不胜防!

  • 資深大佬 : zhleonix

    这个需要到银监会去举报,一报一个准,其他渠道管不了。

  • 資深大佬 : lzhw

    @ke1vin 就是说啊

    之前有人解释说这是一个 feature 怕用户转错帐,但要我说支付宝和微信显示姓名最后一个字的“feature”都多少年了,这两家论体量论流水都比网商银行大多了,他们都觉得只显示一个字就足以验证对方身份避免转错帐,没道理网商银行就要显示全名。。所以我认为“怕用户转错帐所以刻意显示全名”这个理由站不住脚

  • 資深大佬 : lzhw

    @vfxx 唉,就像我#52 说的,现在最怕的就是得罪人被人人肉了

    推销诈骗还有其他防范措施,手机号泄露给别有用心的人,他再人肉我姓名,一言不合就给我来个网络暴力,真的没法防

  • 資深大佬 : lzhw

    关于#37 和附言中提到的京东密码找回过程暴露用户真实名字的问题,我新开了一个帖子,有兴趣的 V 友可以去看看:
    https://www.v2ex.com/t/707302

  • 資深大佬 : lzhw

    还是希望支付宝和京东的两个漏洞都能早日得到解决吧

  • 資深大佬 : kerro1990

    @lzhw 实名是为了精准诈骗,诈骗更猖獗了

  • 資深大佬 : loading

    《真名实姓》,这是一本有趣的小说。

  • 資深大佬 : lzhw

    @kerro1990

  • 資深大佬 : hahaandyou001

    国内平台早就没隐私了,不被骗钱就不错了

  • 資深大佬 : ShotaconXD

    我还是没 get 到知道真名会有啥用途…
    我又不是恶魔, 被知道真名就会被奴役…
    至于骗局应用, 仁者见仁智者见智吧….

  • 資深大佬 : lzhw

    @ShotaconXD 更精准的推销骚扰钓鱼诈骗就不说了,我最担心的可能是#57 里说的那样,在网上不经意间得罪人,遭遇到人肉搜索和网络暴力。。很多网站我们只留了手机号,本来问题不大,但如果真实姓名也被人拿到了,能干的事就比较恶心了

    原谅我又拿微博举例子:假如我发了一条微博,有人看着不爽了,从之前泄露的微博 5.38 亿用户名-手机号数据库里通过我用户名查到了我绑定的手机号,就能用我们讨论的这几个漏洞撞出我的真实姓名,在微博上指名道姓的挂我骂我。。像这种“一言不合就给我来个网络暴力”可谓防不胜防啊

  • 資深大佬 : N0phone

    大数据时代你很难不留下个人痕迹啊。。

  • 資深大佬 : lzhw

    @N0phone 所以才希望有类似 GDPR 的隐私保护法规来约束网站的行为啊,“最初之约定”不能滥用
    我的数据我知道你用在什么地方,我同意了,你不能超出( thx @imn1 )
    就像我把姓名身份信息授权给支付宝和京东,是金融合规性的需要,不是让他们现在搞的随便一个人都能通过手机号查到我的姓名

  • 資深大佬 : acooler15

    现在还有些充值接口,会返回手机号的机主与余额

  • 資深大佬 : ruixue

    @acooler15 希望隐私保护环境能越来越好吧,几年前这种情况更多,现在基本上都打了码,都是在不断进步

  • 資深大佬 : lzhw

    @acooler15 就像上说的,现在基本上都是打了码的

    而且这种获取名字的方式也类似于通过转账然后看银行流水,被查的用户是有感知的,并不像网商银行这种完全可以在对方不知情的情况下获取对方姓名,所以我感觉还是网商银行的这个漏洞更容易被滥用也更值得注意一些

  • 資深大佬 : ShotaconXD

    @lzhw #73 还好我基本上与世无争…

  • 資深大佬 : ruixue

    翻完两个帖子真的感到深深的不适,哪是说淡定就能淡定的

    正如 @taobibi 所说,“虽然我们在保护个人信息方面的力量很渺小,各种隐私泄露满天飞 ,但不意味着我们裸奔就是对的”

    有京东和支付宝的员工吗?请和你们公司反映一下吧

  • 資深大佬 : N0phone

    @lzhw 这样也好, 虽然我现在都是用三件套加匿名邮箱解决

  • 資深大佬 : lzhw

    @ShotaconXD 就算想说话也变得不敢说话了

  • 資深大佬 : flowercoder

    早就知道了啊,所以支付宝要把手机转账关了

  • 資深大佬 : lzhw

    @flowercoder 不好意思,现在的问题就是即使你在支付宝里关闭了“通过手机号找到我”隐私开关,其他支付宝用户都无法通过手机号找到你并转账,但网商银行用户依然能利用转账到支付宝的功能通过输入你的手机号强行找到你的支付宝并看到你的真实名字(*某某),也就是说支付宝的这个设置对网商银行无效,已经形同虚设了

  • 資深大佬 : lzhw

    @hahaandyou001 唉,现在真的是防不胜防

  • 資深大佬 : bianqurenfm

    你投简历,点外卖,骑个共享单车的时候,手机号码信息早被无声无息的出卖了,在任何 app 必须手机号注册的情况下无论该公司安全实力或其善恶如何…

  • 資深大佬 : lzhw

    @bianqurenfm

  • 資深大佬 : bianqurenfm

    @lzhw 其实某种程度上还是三大运营商的不作为,很多事情其实是他们也可以推动去做的,尤其是手机实名制源头都在他们那里,但一看到他们自家的 app 和套餐做得那么…就知道不能期待他们:(

  • 資深大佬 : thonatos

    @lzhw 收到,同步一下进展,相关安全同学已经在跟进处理了。

  • 資深大佬 : lzhw

    @thonatos 谢谢!

  • 資深大佬 : fbi007130

    貌似现在不能重现了?

  • 資深大佬 : lzhw

    @fbi007130 谢谢提醒,测试了一下,现在支付宝关闭“通过手机号找到我”隐私开关后,网商银行搜索手机号也找不到对应的支付宝了。不过如果支付宝打开手机查找开关,网商银行能搜索手机号找到对应支付宝的话,转账页面显示的对方姓名还是两个字的全名,只隐藏了姓,依然很容易利用姓名校验功能输入常见姓氏撞出对方的完整姓名

    也就是说希望解决的这两个问题(转账页只显示姓名的最后一个字,以及用户关闭了手机号查找那就是不能用手机号找)现在阿里解决了后面这个,前面这个我们还是希望网商银行那边能继续跟进一下,和支付宝做到同步,转账时只显示对方姓名的最后一个字~

  • 資深大佬 : lzhw

    @thonatos 非常感谢你的帮助,现在希望解决的两个问题(转账页只显示姓名的最后一个字,以及用户关闭了手机号查找那就是不能用手机号找)的后面这个已经解决了,支付宝关闭手机查找后网商银行也不能查找了,很赞!谢谢相关安全同学的努力!

    不过前面这个问题还是想请求你再帮忙反馈一下,希望网商银行能继续跟进,和支付宝做到同步,转账页只显示对方姓名的最后一个字(**某)~好让用户为了方便而打开手机查找功能时更加没有顾虑

    现在网商银行转账支付宝页面显示的对方姓名还是两个字的全名(*某某),只隐藏了姓,依然很容易利用姓名校验功能输入常见姓氏撞出对方的完整姓名