V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lzhw
V2EX  ›  信息安全

京东已实名用户注意了,现在任何人都能通过你京东的手机号/邮箱/用户名查到你(姓以外)的实名信息

  lzhw · 2020-09-15 20:13:13 +08:00 · 27960 次点击
这是一个创建于 403 天前的主题,其中的信息可能已经有所发展或是发生改变。

方法很简单,京东找回密码,输入手机号 /邮箱 /用户名,下拉选择“修改关联手机号”,再选择“使用 关联新银行卡”,就可以在添加银行卡的页面看到对应京东用户的真实名字(*某某)和打了码的身份证号。(感谢/t/707160 #37 @Keng )

大家可以试着找回一下自己的密码就更清楚了。

刚刚担心完支付宝大概率能被人通过手机号拿到真实姓名,现在又轮到京东了,真的防不胜防,实在太恶心了。。

有京东的 V 友能帮忙反馈一下吗?不过找回一个密码,又不是转账,有必要在这里显示用户的真实名字吗?如果真的是自己在找回,也没必要显示,甚至连名字也可以做成校验项;如果不是自己在找回,自己的真实名字不就泄露给别有用心的陌生人了吗?

哪怕学支付宝和微信只显示最后一个字(**某)也好啊,显示全名真的简直了。。我在京东上实名可不是要你把我的名字随便给试图找回我密码的阿猫阿狗看的。。

希望京东能早日改进一下这里的显示,尊重和保护实名用户的隐私信息安全。

第 1 条附言  ·  2020-09-15 21:38:16 +08:00
即使现在信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望京东能重视并解决这个问题~
第 2 条附言  ·  2020-09-16 00:48:54 +08:00
除了手机号这层泄露之外,好多用户的常用邮箱就是他的 QQ 数字邮箱,如果绑定在京东实名账号上的话,陌生人只要知道他的 QQ 号,就可以在找回密码那里输入“QQ 号 @qq.com”查到他的真实名字。而且即使不是用的 QQ 数字邮箱,常用邮箱注册了很多网站的话,其他网站泄露了邮箱地址,同样可以查到他的真实名字,所以邮箱这里的风险也不小

建议大家能解绑的话先尽量解绑一下京东的邮箱,至少能减少一层被查询和泄露的渠道,也算是尽自己所能去降低风险了😭
第 3 条附言  ·  2020-09-16 20:18:00 +08:00
2020-09-16 晚 8 点更新:现在问题已基本修复,通过帖子中的方法只能看到真实姓名的最后一个字了,谢谢帮忙反馈的各位,谢谢!

不过恕我之前考虑不周,如果考虑到单字名用户依旧会暴露“全名”的尴尬,其实还是希望京东能彻底取消姓名的显示的,毕竟这只是个密码找回功能嘛。。如果确实怕用户混淆,请用户自己输入姓名最后一个字做验证(参考#165)或把最后一个字改成拼音显示(参考#160)也好。。

抱歉有点贪心了:请问京东日后能否进一步优化一下?

无论如何,再次感谢所有关注和支持此问题的 V 友们
第 4 条附言  ·  2020-09-20 19:12:27 +08:00
请恕我考虑不周,在第三条附言里面用了“已基本修复”的描述,虽然后面也呼吁京东进一步改进,但之前确实没有认识到问题的严重性。现在看到了大家的回复,深深明白显示姓名的一个字给陌生人看也是极不妥当的,确实不应该认为问题“已基本修复”了,只能说“比之前好了点”,抱歉😭

衷心希望京东能继续改进,做到一个字也不要显示给陌生人看,真正修复此问题。谢谢!

贴一段 V 友的总结(感谢 @ruixue ),恳请京东的同学能来看看:

1. 对于单字名用户来说,显示一个字就等于显示“全名”了啊,这改了相当于没改,真是情何以堪

2. 虽然支付宝微信转账会显示姓名的最后一个字,但支付宝微信也提供了手机查找开关,可以让用户关闭,阻止陌生人通过手机号搜索到自己,看到自己的姓名信息。而京东这个没有关闭选项,全世界的人都能用手机号邮箱用户名搜索到自己看到自己的姓名信息

3. 即使是姓名最后一个字,但实名了就能被查到,不实名就不会被查到,还是让实名用户有种被歧视不受尊重之感

4. 找回密码这个功能本身就没有显示姓名敏感信息的必要,那么原则上就不应该显示(data minimization)。正如 @lework1234 说的,“这找回密码为啥要显示呢,不能要求输入姓名和卡号么?为了体验不能牺牲安全啊”
真的要显示也请在添加银行卡页面之前再设一道验证门槛以阻止陌生人的访问,因为:

5. 我们在京东实名,可没有授权京东向全社会披露我们姓名的最后一个字啊
232 条回复    2020-10-01 00:24:13 +08:00
1  2  3  
matong009
    1
matong009   2020-09-15 20:20:35 +08:00
我擦,京东现在这么不小心吗,可以删除实名不??
lloovve
    2
lloovve   2020-09-15 20:27:02 +08:00 via iPhone
验证了
lzhw
    3
lzhw   2020-09-15 20:29:32 +08:00   ❤️ 1
@matong009 你不妨问问客服,应该可以删除吧😭

反正仅绑定手机号但没通过身份证银行卡实名的用户,被找回密码是不能用添加银行卡验证这个方式的,也就不会泄露真实名字信息(也没有信息可泄露),但是未实名的话是无法享受京东 plus 的权益的。。
redtea
    4
redtea   2020-09-15 20:29:36 +08:00   ❤️ 1
已重现,不过个人感觉还是支付宝里网商银行的危害大,毕竟不是人人都有京东账号。
lzhw
    5
lzhw   2020-09-15 20:40:19 +08:00
@redtea 我两边都中枪了😭心情难以言表😭
xunco
    6
xunco   2020-09-15 20:42:37 +08:00 via iPad   ❤️ 2
重现,取消实名了,真坑
madNeal
    7
madNeal   2020-09-15 20:43:52 +08:00
打码了呀
jon
    8
jon   2020-09-15 20:43:53 +08:00   ❤️ 5
我也中枪了东哥你出卖兄弟啊
motai
    9
motai   2020-09-15 20:46:29 +08:00
你们用其他的人手机号试试,没在你电脑登陆过的账户,过不了安全校验的
motai
    10
motai   2020-09-15 20:48:09 +08:00
好像确实可以
azhi2007
    11
azhi2007   2020-09-15 20:51:05 +08:00 via iPhone   ❤️ 1
我早取消实名了 跟京东金融客服投诉了好几个回合才肯帮取消实名 非要手持证件照 我没同意
lzhw
    12
lzhw   2020-09-15 20:51:12 +08:00   ❤️ 1
@madNeal 只打码了姓,名字不管几个字都是全部显示的,陌生人完全可以再结合支付宝转账的姓氏校验功能交叉验证撞出全名😭
PopRain
    13
PopRain   2020-09-15 20:54:27 +08:00
用我的手机号,可以重现,用我老婆的手机号,不能重现。
paradoxs
    14
paradoxs   2020-09-15 20:55:46 +08:00
@xunco 重现,取消实名了,真坑
---------
能教一下你是怎么取消实名的吗?
ryanlid
    15
ryanlid   2020-09-15 20:55:55 +08:00
这只知道名字呀。还不是全名

在营业厅帮他缴点费,发票上会有机主姓名,或者也可以缴费,输完号码营业员会问你是不是 某某
lzhw
    16
lzhw   2020-09-15 20:56:07 +08:00   ❤️ 1
@motai 我试了,还是异地的好友,我这边从没登录过他的账号,只有第一步输入手机号 /邮箱 /用户名时做了个图形验证,之后的几步都是安全校验直接过,然后就成功进入添加他银行卡的页面,看到他的真实名字和打了码的身份证号了
lzhw
    17
lzhw   2020-09-15 21:01:03 +08:00
@ryanlid 现在营业厅缴费获取的机主信息也是打了码的

而且这种获取名字的方式也类似于通过转账然后看银行流水,被查的用户是有感知的,并不像京东找回密码这种完全可以在对方不知情的情况下获取对方名字,而且零成本门槛低无风险,我觉得京东这个还是更可怕也更容易被滥用吧
lzhw
    18
lzhw   2020-09-15 21:05:35 +08:00
@PopRain 可能是尊夫人的京东账号只绑定了手机号没有用身份证银行卡实名过吧😂这种被找回密码是不能用添加银行卡验证这个方式的,也就不会泄露真实名字信息(也没有信息可泄露)
lzhw
    19
lzhw   2020-09-15 21:16:59 +08:00
@lloovve 是的,京东的这个通过添加银行卡来找回密码的机制应该对所有已实名用户都适用,也就是实名用户们全都中招躺枪😭
laoyur
    20
laoyur   2020-09-15 21:17:44 +08:00
挺坑的,只隐藏了姓

想起来还有个坑货,招商银行,以前发营销短信过来,都是直呼我全名的
lp10
    21
lp10   2020-09-15 21:22:55 +08:00
能看到真实名字(不含姓氏),以及身份证的第一位和最后一位。
说是“查到你(姓以外)的实名信息”有点夸张,不过相当于手机号查名字,这个还是挺麻烦的
lzhw
    22
lzhw   2020-09-15 21:25:40 +08:00
@matong009 根据#6 和#11 所说,应该确定是可以删除的
sagaxu
    23
sagaxu   2020-09-15 21:28:02 +08:00 via Android
快递单上姓名手机住址齐全,都泄露几百回了,
dji38838c
    24
dji38838c   2020-09-15 21:30:58 +08:00
作为 实名 /手机 /身份证 /地址 早已经在社工库里可以查到的人 (酒店泄露)

已经无所谓了。
madNeal
    25
madNeal   2020-09-15 21:31:49 +08:00
你们想什么呢,你以为你的全名在网络上还是隐藏的吗,你去 tg 的社工机器人查一下,搞不好身份证都有
lzhw
    26
lzhw   2020-09-15 21:32:30 +08:00   ❤️ 4
@sagaxu 我收件人可以只填 X 先生 /X 女士,只透露姓,但是面对京东这种手机号查名字的漏洞,两相结合我真的不想爆粗口😭

话说回来,即使现在身份信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望京东能重视并解决这个问题吧~
lzhw
    27
lzhw   2020-09-15 21:34:15 +08:00   ❤️ 2
@dji38838c
@madNeal
即使现在身份信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望京东能重视并解决这个问题~
reus
    28
reus   2020-09-15 21:35:01 +08:00 via Android
无所谓,姓名身份证号这些,有恶意的早就掌握了,无恶意的拿来也没用。又不是密码,密码泄露了可能引诱犯罪,这些信息在我看来不算核心隐私。
lzhw
    29
lzhw   2020-09-15 21:36:23 +08:00   ❤️ 1
@laoyur
@lp10
是的,还可以结合支付宝转账时的姓氏校验功能,交叉验证碰撞出全部真实姓名😭
可以参考 /t/707160
vfxx
    30
vfxx   2020-09-15 21:37:12 +08:00
我擦嘞
reus
    31
reus   2020-09-15 21:38:23 +08:00 via Android
开发人员没有意识到姓氏的选择有限,而且分布集中,是一种设计失误,别说得好像别人故意要泄露似的。
通常惯例是通知厂商,修复之后才公布。你就这么公布出来,批判京东是爽了,但实际是有害的行为。
madNeal
    32
madNeal   2020-09-15 21:40:45 +08:00
@lzhw 应用的安全和便捷很多情况是有冲突的,如果有时候做的太过分就会影响正常的使用,最好是把我这个度,我觉得打码姓,身份证号只保留第一位和最后一位,我觉得是可以接受的。不然甚至都无法确定是不是自己的账户
sagaxu
    33
sagaxu   2020-09-15 21:41:17 +08:00 via Android   ❤️ 1
@lzhw 这不是一两家公司能解决的问题,除非 zf 强力推进,不然到处都是漏洞,小修小补无济于事

@madNeal tg 能查,和随便什么人都能差,性质完全不同
lzhw
    34
lzhw   2020-09-15 21:43:28 +08:00
@reus 之前在 /t/707160 “支付宝大概率能被人通过手机号拿到真实姓名”那个帖子里,#37 已经有人说了这个问题,并不是我先公布的
lzhw
    35
lzhw   2020-09-15 21:48:28 +08:00   ❤️ 4
@sagaxu 能做一点算一点吧,所谓的有一分热,发一分光,如果什么都不做,那才是最绝望的啊😭

再怎么说,支付宝和京东的两个漏洞要都能得到解决,那么世界上的漏洞不就少了两个吗
justd
    36
justd   2020-09-15 22:03:22 +08:00   ❤️ 1
我也复现了…… 很害怕啊我现在跟光身子逛大街一样
RouJiANG14
    37
RouJiANG14   2020-09-15 22:14:31 +08:00
嗯?我的是都带星号的啊。。。姓名就光姓氏,身份证就第一位和最后一位。
ShuoHui
    38
ShuoHui   2020-09-15 22:17:27 +08:00 via iPhone   ❤️ 3
“即使现在信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求” 说的太棒了。
Keng
    39
Keng   2020-09-15 22:18:51 +08:00 via iPhone   ❤️ 2
@reus 我是告诉了客服的,客服完全不在乎。
我同时还说了另一个问题,京东早期用户用手机注册的时候默认的用户名是手机加_p,例如 13088888888_p,还不允许修改。客服就是不断重复:请理解。
我们认为这是安全 bug,京东认为这是 feature 呢😂
Keng
    40
Keng   2020-09-15 22:25:07 +08:00 via iPhone
各位老哥也不用慌,要相信我们的这些信息早就入裤了…
前几天 信息安全老骆驼 那篇文章确实让我慌了,赶紧检查自己相关信息,反复测试重要 app 的安全性、各种解绑改名、注销了闲置的银行卡、开了新手机号给银行用、注销美团、注销各种旅游和购票网站…
结论就是:只要还有以京东和美团为代表的这些短板在,你再怎么挣扎都没用,一旦手机验证码失守你就裸奔了,只能尽可能保护好自己的手机…
harmless
    41
harmless   2020-09-15 22:25:52 +08:00 via Android   ❤️ 1
已经反馈了 你们也可以去京东 src 提个漏洞 让安全去推这个事情
taobibi
    42
taobibi   2020-09-15 22:26:05 +08:00   ❤️ 5
居然发现自己的全名被泄露了。感谢楼主及时发现这个漏洞
楼主的观点很赞同,虽然我们在保护个人信息方面的力量很渺小。各种隐私泄露满天飞 ,但不意味着我们裸奔就是对的。
信息保护和实名制的方式,真应该改进一下了
whoami9894
    43
whoami9894   2020-09-15 22:28:48 +08:00
修复了?我试了身份证号是加*的
wanyulaowang
    44
wanyulaowang   2020-09-15 22:33:34 +08:00 via Android   ❤️ 1
刚反馈 push 客服,客服要转到金融客服,不过已经登记了,等明天金融回电看看什么情况吧
lzhw
    45
lzhw   2020-09-15 22:34:51 +08:00
@madNeal 支付宝和微信转账的时候也只显示对方姓名的最后一个字,这两家公司都认为这已经是“保护用户隐私”和“防止转错帐”之间的一个良好折中😭我怎么也想不通自己找回自己的密码的时候,还需要看到自己的全名才能确保是自己的账户,讲道理找回密码时要你主动输入自己的姓名做验证都是完全可以的😭

@justd 希望你没有看到我另一个关于“支付宝大概率能被人通过手机号拿到真实姓名”的帖子,否则会更难受😭

@RouJiANG14
@whoami9894
抱歉我可能在标题中没有描述妥当,目前泄露的就是用户除了姓以外的全名(*某某),身份证号是打了码的
kangsheng9527
    46
kangsheng9527   2020-09-15 22:35:56 +08:00
赔偿!
lzhw
    47
lzhw   2020-09-15 22:48:31 +08:00
@Keng 谢谢你的说明,不过感觉真的好难受😭
ddefewfewf
    48
ddefewfewf   2020-09-15 22:59:03 +08:00
实名真好
lvybupt
    49
lvybupt   2020-09-15 23:05:00 +08:00
谢 @提醒。

其实没什么可看的,都是有很大的隐私泄漏风险。像我们这种搞理论的,肯定觉得这是个毁灭级的漏洞了。
也像之前那个帖子里回复的一样,你向他们开发反馈的话,他们只认为这是个 feature,不会认为这是个 bug 。

不过我还是要给你打针安慰剂
也没有什么过分恐慌的。
验证码防爬虫,后面的安全组策略多次尝试会禁用 IP,这些基本配置都有,脱裤撞裤的风险有,但是不算太高。
毕竟动态 IP 库+验证码识别+法律风险+低收益 获得两个打码的信息。有更多廉价渠道能获得大量的其他信息。

我的建议还是手机号码隔离,注册绑定账号和常用手机号分开。
没有人知道你的注册手机号和注册邮箱也就不会有后面的了

其实最大的安全威胁目前还是来自于社会工程学。
但是针对你展开社公的话,你的姓名和常用手机号一定早被它知道了,甚至生日住址学校等等。否则这么多人,选择一个 0 信息的人社工就是一个很迷的问题了。
kerro1990
    50
kerro1990   2020-09-15 23:15:23 +08:00
实名是为了防止电信诈骗,实名之后造成了精准电信诈骗。诈骗的人比我们自己更了解我们自己
lzhw
    51
lzhw   2020-09-15 23:26:23 +08:00
@lvybupt 非常感谢!!

我最担心的可能是之前在 /t/707160 #57 里说的那样,在网上不经意间得罪人,遭遇到人肉搜索和网络暴力。。很多网站我们只留了手机号,本来问题不大,但如果真实姓名也被人拿到了,能干的事就比较恶心了

原谅我又拿微博举例子:假如我发了一条微博,有人看着不爽了,从之前泄露的微博 5.38 亿用户名-手机号数据库里通过我用户名查到了我绑定的手机号,就能用我们讨论的这几个漏洞撞出我的真实姓名,在微博上指名道姓的挂我骂我。。像这种“一言不合就给我来个网络暴力”可谓防不胜防啊😭

唉,还是希望支付宝和京东的两个漏洞都能早日得到解决吧😭
lzhw
    52
lzhw   2020-09-15 23:55:19 +08:00
xFrye
    53
xFrye   2020-09-16 00:10:30 +08:00
真的很感谢楼主的提醒。。。。 我感觉你要是继续深挖下去会有更多的平台出现这样的漏洞
talentr9
    54
talentr9   2020-09-16 00:12:32 +08:00 via iPhone
你要自由干什么?你要隐私干什么?
hafuhafu
    55
hafuhafu   2020-09-16 08:24:53 +08:00
已复现。不过其实这个还算好了,和支付宝转账类似。不过如果只是要全名信息,用常用手机号大概率能直接获取。
最近发现 QQ 号和绑定手机被泄露,而且是很新的数据。能查到我老 qq 号和旧绑定手机我丝毫不惊讶,但是能查到我没有加任何人的小号和去年刚办没怎么使用的手机卡我是没想到的。我都怀疑是否有内鬼了。
maxxfire
    56
maxxfire   2020-09-16 09:07:33 +08:00   ❤️ 1
君子坦蛋蛋,小人藏鸡鸡。不做亏心事,不怕鬼敲门。对于隐私问题,我早已麻木,也早已绝望。
Felldeadbird
    57
Felldeadbird   2020-09-16 09:19:27 +08:00
复现成功,确实如此。

尽管数据处理过了。 但是名字能不能 去掉呀。。。
undef404
    58
undef404   2020-09-16 09:23:00 +08:00
这种不应该直接投诉工信部么?
yuhaijiang2019
    59
yuhaijiang2019   2020-09-16 09:26:06 +08:00
这种早就可以了啊,灰产想获得你信息太简单了,而且做灰产的极多(一般的户籍信息最便宜,只需要几十块钱,车辆信息 100 元左右,最贵的要数外卖和快递地址,市场价在几百到上千元。)-我们省新闻报道的,真的分分钟你住几号房都能给找出来
lzhw
    60
lzhw   2020-09-16 09:34:38 +08:00
@xFrye 是啊,细思极恐啊,昨天讨论了“网商银行转支付宝大概率暴露姓名”的漏洞 /t/707160,紧接着就是京东这个,现在就怕马上又有其他平台的漏洞被曝出来😭
jeremaihloo
    61
jeremaihloo   2020-09-16 09:35:00 +08:00   ❤️ 1
有京东和支付宝的员工吗

和你们公司反映一下吧
lzhw
    62
lzhw   2020-09-16 09:42:27 +08:00
@maxxfire
@yuhaijiang2019
即使现在信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望京东能重视并解决这个问题~
真不想破罐破摔啊😭
Unclev21x
    63
Unclev21x   2020-09-16 09:42:37 +08:00
如果可以登录已实名账户,请使用已实名账户登录京东金融 App,点击 [(右下角)我的-头像-实名认证-(页面最下方)我的客服-取消实名] ,根据页面引导操作取消即可。
如果无法登录已实名账户,请使用其他账户登录京东金融 App,点击 [(右下角)我的-头像-实名认证-(页面最下方)我的客服-找回实名] ,根据页面引导找回实名账户,然后继续使用或根据以上步骤操作取消实名。

温馨提示:若您开通了 PLUS 会员,请在取消实名后的 3 个工作日内重新实名,否则 PLUS 会员会自动关闭。若您开通了白条闪付,取消实名需注销白条闪付,且白条闪付注销后无法恢复。实名认证取消完成后,会导致您账户内的钢镚余额直接按过期处理,无法再使用。

plus 会员表示牛逼了。
HFX3389
    64
HFX3389   2020-09-16 09:44:01 +08:00
@Unclev21x #63 PLUS 会员集体表示很难受
keepeye
    65
keepeye   2020-09-16 09:48:01 +08:00
复现了 身份号只能看到第一位和最后一位,也许结合社工库能还原出来?
lzhw
    66
lzhw   2020-09-16 09:49:19 +08:00   ❤️ 1
@hafuhafu 实际上“网商银行转账支付宝大概率能拿到姓名”这个问题可能要更严重一些,因为转账页面提供了姓名校验功能,完全可以多次尝试输入常见姓来把全部真实姓名撞出来。。

即使网商银行的那个漏洞修复了,支付宝转账还是能把姓试出来,和京东暴露的全名交叉验证一下也就能拿到全部真实姓名了。。不过好在支付宝这里可以关闭手机查找,这样别人就无法在支付宝里通过手机号搜索到自己的支付宝了(无法关闭的是网商银行对支付宝用户的手机查找,但是假设这个问题已经被修复)

不管怎样,还是希望支付宝和京东的两个漏洞都能早日得到解决吧😭
yu3x1n0
    67
yu3x1n0   2020-09-16 09:50:27 +08:00 via Android
为啥找回密码的步骤是 输入账号 /手机号》选验证方式(手机+身份证 和 手机+历史收货)》手机验证码》输入部分身份证号码 》然后就到重置密码啦
shayang888
    68
shayang888   2020-09-16 09:53:13 +08:00
好像没法注销实名啊
lzhw
    69
lzhw   2020-09-16 09:54:21 +08:00   ❤️ 1
@Felldeadbird 是的啊,这只是个密码找回,又不是转账,显示用户名字是要干嘛。。自己找回自己的密码还能不知道自己叫什么吗。。反倒是被别有用心的陌生人看见了就麻烦了。。而且就算是转账,现在支付宝和微信都只是显示姓名的最后一个字了,京东这直接显示全名更是没道理。。
lzhw
    70
lzhw   2020-09-16 09:56:26 +08:00
@yu3x1n0 往下拉找小字部分里的“修改关联手机号”

@shayang888 看下#63 试试?
JellyDong
    71
JellyDong   2020-09-16 09:56:59 +08:00
9.16 试了一下,没有直接出来,不知道是不是修复了?
为确认是您本人操作,请选择以下任一方式完成身份认证
使用 E-mail 验证码 + 银行卡信息使用 手机短信验证码 + 身份 ID 使用 手机短信验证码 + 收货人姓名
lucas4585
    72
lucas4585   2020-09-16 10:02:37 +08:00   ❤️ 1
看这个》一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》
https://mp.weixin.qq.com/s/LfKYjJvvFcnV7Mxp-7jsEw
datoujiejie221
    73
datoujiejie221   2020-09-16 10:02:47 +08:00
怪不得最近周围好几个人收到京东金条的诈骗电话,而且名字也准确
lzhw
    74
lzhw   2020-09-16 10:03:15 +08:00
@lzhw 往下拉找小字部分里的“修改关联手机号”
lzhw
    75
lzhw   2020-09-16 10:03:49 +08:00
@JellyDong 往下拉找小字部分里的“修改关联手机号”
yefuchao
    76
yefuchao   2020-09-16 10:04:40 +08:00
@JellyDong 我这里还可以看到
hejw19970413
    77
hejw19970413   2020-09-16 10:06:57 +08:00   ❤️ 1
我自己亲测 好几遍,用谁的都可以,只要是实名过的
lzhw
    78
lzhw   2020-09-16 10:12:38 +08:00
@datoujiejie221
@yefuchao
@hejw19970413
是的,京东的这个通过添加银行卡来找回密码的机制应该是对所有已实名用户都适用,也就是实名用户们全都中招躺枪😭
Unclev21x
    79
Unclev21x   2020-09-16 10:15:09 +08:00
@HFX3389 在京东的同学已经反馈了。
JellyDong
    80
JellyDong   2020-09-16 10:22:05 +08:00
@yefuchao
@lzhw
确实是...主要刚开的 PLUS,这....
hullhutt
    81
hullhutt   2020-09-16 10:25:16 +08:00
用火狐浏览器,提示:很抱歉,账号无可用认证方式
谷歌浏览器和 edge 会暴露姓名
guanhui07
    82
guanhui07   2020-09-16 10:35:00 +08:00
还真的是
lzhw
    83
lzhw   2020-09-16 10:35:35 +08:00
@JellyDong 我支付宝那边 /t/707160 和京东这边都中枪了,心情也是难以言表😭
leekafai
    84
leekafai   2020-09-16 10:37:43 +08:00
工信部走起
zhbzhbzhbz
    85
zhbzhbzhbz   2020-09-16 10:42:30 +08:00
@madNeal 没错~所以只能是说,类似邮箱这种用来找回密码的东西一定要单独设就行
lusi1990
    86
lusi1990   2020-09-16 10:45:45 +08:00
成功复现, 之前爬京东就发现有些接口是不需要验证就可以爬了
leeg810312
    87
leeg810312   2020-09-16 10:49:33 +08:00 via Android
各家的安全单独看是没有问题的,只显示姓或只显示名,共同使用才会产生安全漏洞,你不能单方面说是京东的问题或是阿里腾讯的问题。你能规定各家的安全规则一致吗?
sleepm
    88
sleepm   2020-09-16 10:52:32 +08:00
58 啥的简历没人关注么
只要设置不当,别人随意看
哪年上的啥大学,叫啥,手机号,甚至驾照都能看到
showgood163
    89
showgood163   2020-09-16 10:55:26 +08:00
@talentr9 已 b
lzhw
    90
lzhw   2020-09-16 10:59:44 +08:00
@leeg810312 京东这个确实需要其他来源的信息交叉验证,但是我另一个帖子里提到的“网商银行转账支付宝大概率能拿到姓名”的漏洞 /t/707160 就完全不需要其他信息来源,通过转账页面的姓名校验功能输入常见姓氏进行碰撞就大概率能拿到对方真实姓名。。

前十大姓(王李张刘陈杨赵黄周吴)的人口就占了全国人口的 44%,即使不知道一个人的姓氏,尝试校验 10 次就有 44%的概率得到 TA 的全名,再往后多试几次概率更大
DandelionFlowers
    91
DandelionFlowers   2020-09-16 11:11:32 +08:00 via Android
一个支付宝转账 一个京东找回密码 ...
ruixue
    92
ruixue   2020-09-16 11:18:28 +08:00
吐了。。
有京东和支付宝的员工吗?请和你们公司反映一下吧
MrZZZ
    93
MrZZZ   2020-09-16 11:33:04 +08:00   ❤️ 4
@lzhw 细思极恐!!!我刚刚复现了一下,居然真的查出了一个随便输入的手机号的名字和部分银行卡号!!!
我已经在内网上反馈这个事情了,后续应该有人会跟进,如果有回复,我会更新的!!!
TypeError
    94
TypeError   2020-09-16 11:43:13 +08:00 via Android   ❤️ 2
推广实名制的都该死
SenLief
    95
SenLief   2020-09-16 11:43:50 +08:00
我这面无法显示全名,只能显示一个字,以及身份证号的第一位和最后一位。其实这部分已经没有意义了,因为我这些注册的都是用了一个不用的手机号,只用来收验证码的。
lzhw
    96
lzhw   2020-09-16 11:46:36 +08:00
@MrZZZ 谢谢!
lzhw
    97
lzhw   2020-09-16 12:07:04 +08:00
@SenLief 确实是个好习惯,也建议大家都尽量多个手机号分离需求

不过还是想提醒一下,也要小心我在#51 里说的,其他网站泄露了你专门注册用的手机号,然后被人肉和网络暴力的可能性。。

还有,jd 泄露的就是除姓以外的真实名字,如果你只看到一个字,说明那个用户就是单字名,如果是双字名,就能看到两个字的~
SenLief
    98
SenLief   2020-09-16 12:18:04 +08:00
@lzhw 哈哈,一般情况下其实姓名和手机号已经泄露的差不多了,就连身份证都基本上泄露了,你去 tg 上找,发现有很多的手持都。所以说都不用被爆破,目前泄露的就那么几家大的在泄露,这是在国内无法处理的事情。

我小号 1 年一换,反正便宜。
QUIOA
    99
QUIOA   2020-09-16 12:23:55 +08:00 via Android
@hafuhafu 2.2 亿那个嘛
lzhw
    100
lzhw   2020-09-16 12:31:09 +08:00
@DandelionFlowers 真的要🤮了
1  2  3  
关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2144 人在线   最高记录 5497   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 29ms · UTC 05:45 · PVG 13:45 · LAX 22:45 · JFK 01:45
♥ Do have faith in what you're doing.