淘宝用户信息被“爬”？似乎没看到相关起来的帖子。

> 通过淘宝商品详细信息接口和淘宝信息分享接口，可以爬取淘宝客户的淘宝数字 ID 和淘宝昵称，通过淘宝分享接口可以爬取淘宝客户手机号信息。


对能获取手机号信息，表示怀疑。商品详情、分享接口都被爬到烂了。

文章里有直接提到“漏洞”两个字，可信度还是挺高的，
我倾向于特定情况特定页面的特定数据因漏洞泄露，应该会很快补上，大概率抓人前就补上了，

其实吧，虽然通过用户名查找绑定的手机号不好操作，但是通过手机号查找对应的用户名有时却很简单。因为很多互联网 app 为了做社交，都有一键上传通讯录，识别有哪些通讯录联系人也在使用此 app 并自动加好友的功能

这种情况下，如果能遍历全网的手机号，获取关联到的全部用户名数据，那么再通过用户名查找绑定的手机号自然毫无压力

之前微博 5 亿 ID 手机号绑定数据泄露和 QQ 8 亿 ID 手机号绑定数据泄露，都是黑产向官方通讯录加好友的接口喂遍历生成的全网手机号拿到的

淘宝既然也有读取通讯录自动加好友的功能，不排除数据是通过这个渠道泄露的

@ruixue #3 分析合理，但是像文中说的，这种错误在天天宣传安全健壮的阿里身上发生，很讽刺。

@ufan0 阿里的安全真不用迷信。记得去年工单节点有一个帖子，说的就是阿里的安全逻辑有漏洞导致很容易通过手机号查出支付宝用户的真实姓名，而并不需要转账等会留下痕迹的操作

具体的好像是当时网商银行有一个功能可以输入手机号直接向支付宝用户转账，而且这个功能可以绕过支付宝用户的“不允许通过手机号找到我”的隐私设置，强行通过手机号找到对应的支付宝账号。并且转账界面只隐藏了对方的姓，名字是全部显示的，并不像支付宝用户之间转账只显示对方姓名的最后一个字。如果再利用姓名校验功能，输入常见姓去尝试，有不小的概率可以直接撞出用户的全名

后来支付宝才把这个漏洞修复了，改成需要输入对方姓名才可以转账的逻辑