多家云服务商网站 API 随意暴露用户个人信息 @腾讯云 @又拍云 @七牛云

去年给各家云服务商网站做了个检查，发现他们只给前端页面展示的个人信息脱敏，网站 AJAX API 的就完全是明文。比如手机号在网页显示 138****1234，实际上在 API 返回数据里有完整手机号。

我当时看到每家都这样暴露用户注册邮箱、手机号、姓名、身份证号等，想着只要我的浏览器不装不靠谱的扩展，应该问题也不大。

过年一年了今天突然想起，又去各大家网站检查了一下，发现居然只有阿里云进行了改进，其他家只改进个别接口？而且发现 @腾讯云 不仅暴露前端需要的信息，居然连前端完全不需要的认证银行卡信息也暴露了？

我没有开玩笑，以下列几个接口，大家可以自行查证：

几乎每家都有暴露实名认证的姓名和身份证后 4 位。

腾讯云接口 /cgi/login?action=checkLogin  返回的 data.ownerInfo.passedBankInfo 里有认证用的银行卡信息（包括银行名、姓名、卡号、开户行），认证通过以后前端都没有银行卡展示了，完全用不着的东西不读取不行吗？你读取了还要完整返回，这是想干嘛？故意留个口子给恶意扩展读取用户信息？

又拍云控制台前端隐藏了手机号中间几位，然而接口 /accounts/profile/ 返回的是完整手机号。想要明文展示你就明文展示，何必做这种自欺欺人的行为呢？我没有实名认证，我要实名认证了怕是也在 /api/accounts/certificate/ 返回我完整的认证信息吧？

七牛云前端也隐藏了手机号中间几位，请求接口 /api/gaea/user/overview 返回的也是完整手机号。

我说各家云，你们要像青云那样完整读取了也在网站完整展示，我好歹知道其中风险。你们完整读取了，却装模做样已经脱敏，在前端按脱敏格式显示，绿茶婊行为吗？

请各家云内部人员或同事看到了，反馈上去，尽快修改。你们这样使用用户个人信息肯定是不合规的