V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
GeekHub
lzhw
V2EX  ›  信息安全

京东已实名用户注意了,现在任何人都能通过你京东的手机号/邮箱/用户名查到你(姓以外)的实名信息

  lzhw · 14 天前 · 20681 次点击

方法很简单,京东找回密码,输入手机号 /邮箱 /用户名,下拉选择“修改关联手机号”,再选择“使用 关联新银行卡”,就可以在添加银行卡的页面看到对应京东用户的真实名字(*某某)和打了码的身份证号。(感谢/t/707160 #37 @Keng )

大家可以试着找回一下自己的密码就更清楚了。

刚刚担心完支付宝大概率能被人通过手机号拿到真实姓名,现在又轮到京东了,真的防不胜防,实在太恶心了。。

有京东的 V 友能帮忙反馈一下吗?不过找回一个密码,又不是转账,有必要在这里显示用户的真实名字吗?如果真的是自己在找回,也没必要显示,甚至连名字也可以做成校验项;如果不是自己在找回,自己的真实名字不就泄露给别有用心的陌生人了吗?

哪怕学支付宝和微信只显示最后一个字(**某)也好啊,显示全名真的简直了。。我在京东上实名可不是要你把我的名字随便给试图找回我密码的阿猫阿狗看的。。

希望京东能早日改进一下这里的显示,尊重和保护实名用户的隐私信息安全。

第 1 条附言  ·  14 天前
即使现在信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望京东能重视并解决这个问题~
第 2 条附言  ·  14 天前
除了手机号这层泄露之外,好多用户的常用邮箱就是他的 QQ 数字邮箱,如果绑定在京东实名账号上的话,陌生人只要知道他的 QQ 号,就可以在找回密码那里输入“QQ 号 @qq.com”查到他的真实名字。而且即使不是用的 QQ 数字邮箱,常用邮箱注册了很多网站的话,其他网站泄露了邮箱地址,同样可以查到他的真实名字,所以邮箱这里的风险也不小

建议大家能解绑的话先尽量解绑一下京东的邮箱,至少能减少一层被查询和泄露的渠道,也算是尽自己所能去降低风险了😭
第 3 条附言  ·  13 天前
2020-09-16 晚 8 点更新:现在问题已基本修复,通过帖子中的方法只能看到真实姓名的最后一个字了,谢谢帮忙反馈的各位,谢谢!

不过恕我之前考虑不周,如果考虑到单字名用户依旧会暴露“全名”的尴尬,其实还是希望京东能彻底取消姓名的显示的,毕竟这只是个密码找回功能嘛。。如果确实怕用户混淆,请用户自己输入姓名最后一个字做验证(参考#165)或把最后一个字改成拼音显示(参考#160)也好。。

抱歉有点贪心了:请问京东日后能否进一步优化一下?

无论如何,再次感谢所有关注和支持此问题的 V 友们
第 4 条附言  ·  9 天前
请恕我考虑不周,在第三条附言里面用了“已基本修复”的描述,虽然后面也呼吁京东进一步改进,但之前确实没有认识到问题的严重性。现在看到了大家的回复,深深明白显示姓名的一个字给陌生人看也是极不妥当的,确实不应该认为问题“已基本修复”了,只能说“比之前好了点”,抱歉😭

衷心希望京东能继续改进,做到一个字也不要显示给陌生人看,真正修复此问题。谢谢!

贴一段 V 友的总结(感谢 @ruixue ),恳请京东的同学能来看看:

1. 对于单字名用户来说,显示一个字就等于显示“全名”了啊,这改了相当于没改,真是情何以堪

2. 虽然支付宝微信转账会显示姓名的最后一个字,但支付宝微信也提供了手机查找开关,可以让用户关闭,阻止陌生人通过手机号搜索到自己,看到自己的姓名信息。而京东这个没有关闭选项,全世界的人都能用手机号邮箱用户名搜索到自己看到自己的姓名信息

3. 即使是姓名最后一个字,但实名了就能被查到,不实名就不会被查到,还是让实名用户有种被歧视不受尊重之感

4. 找回密码这个功能本身就没有显示姓名敏感信息的必要,那么原则上就不应该显示(data minimization)。正如 @lework1234 说的,“这找回密码为啥要显示呢,不能要求输入姓名和卡号么?为了体验不能牺牲安全啊”
真的要显示也请在添加银行卡页面之前再设一道验证门槛以阻止陌生人的访问,因为:

5. 我们在京东实名,可没有授权京东向全社会披露我们姓名的最后一个字啊
228 条回复    2020-09-29 22:43:04 +08:00
1  2  3  
lzhw
    201
lzhw   12 天前   ❤️ 1
请恕我考虑不周,在第三条附言里面用了“已基本修复”的描述,虽然后面也呼吁京东进一步改进,但之前确实没有认识到问题的严重性。现在看到了大家的回复,深深明白显示姓名的一个字给陌生人看也是极不妥当的,确实不应该认为问题“已基本修复”了,只能说“比之前好了点”,抱歉😭

还是希望京东能继续改进,做到一个字也不要显示给陌生人看,真正修复此问题。谢谢!
ruixue
    202
ruixue   12 天前   ❤️ 1
@lzhw 是的。即使显示一个字,那也是我真实姓名的一部分,对于单字名的用户更是“全名”了。在我没有义务向他人展示我姓名的一部分以辅助验证身份(比如接收转账)时,京东有什么理由把我姓名的一部分暴露出去,公开给全世界任何一个人查看呢?

即使是转账场景:微信转账显示姓名的一个字,但微信是默认关闭手机号转账的,陌生人不能通过搜手机号直接给我转账从而看到我姓名的一个字;支付宝转账也显示姓名的一个字,但支付宝也在隐私设置里提供了关闭手机号 /邮箱查找的功能,这样陌生人也不能通过搜手机号 /邮箱直接给我转账从而看到我姓名的一个字;而京东的这个“密码找回”可没有开关供我们用户关闭,任何人都能搜手机号 /邮箱 /用户名看到我姓名的一个字,我们用户没有任何办法阻止。。单字名用户更是情何以堪。。

找回密码真的不是这么找的。一个字那也是我真实姓名中的一个字,属于敏感信息的一部分,我不希望被别有用心的陌生人看到哪怕一个字就不应该被他看到哪怕一个字。所以我认为这个暴露实名信息的漏洞并没有彻底得到修复,这个密码找回的流程还是存在问题的。我想很多人应该和我一样也是这么认为的

希望京东能彻底修复这个暴露实名信息的漏洞,一个字都不要显示,让用户自己输入姓名,或者在添加银行卡页面之前再设一道验证门槛以阻止陌生人的访问
ruixue
    203
ruixue   12 天前
毕竟我们在京东实名,可没有授权京东向全社会披露我们姓名的最后一个字啊
YaakovZiv
    204
YaakovZiv   12 天前
我的身份证被一个已经注销的手机号绑了两年了,京东一直没给处理。客户原话就是请通过手持身份证上传照片的方式重新绑定身份。我就很抵触这种操作。
lzhw
    205
lzhw   12 天前
@simy 😂

@wangkun025 说的好

@ruixue 确实啊

@YaakovZiv 😖
lzhw
    206
lzhw   12 天前   ❤️ 1
@paradoxs 说的是,显示任何敏感信息(包括 1 个字)前,至少要有一个校验才对

能让陌生人无需提供其他任何信息,仅仅输入一个手机号 /邮箱 /用户名就能直接进入添加银行卡的页面,看到对应用户的敏感信息,这个逻辑说实话我到现在还是想不通
darknoll
    207
darknoll   11 天前
这有啥啊,三个字的名字只显示最后一个字,外卖透漏的信息都比这多
lzhw
    208
lzhw   11 天前   ❤️ 1
@darknoll 可问题是,不是谁都能拿到外卖透漏的信息,外卖用户也可以用假名让信息变得没有价值;而京东这个漏洞是任何人都可以输入手机号 /邮箱 /用户名查到对应用户的信息,必为真实实名信息而且用户没有办法阻止,等同于向互联网完全公开了,门槛和性质完全不一样啊

而且,即使现在信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望京东能彻底解决这个问题~
ruixue
    209
ruixue   11 天前   ❤️ 1
@lzhw 我再补充几点

1. 对于单字名用户来说,显示一个字就等于显示“全名”了啊,这改了相当于没改,真是情何以堪

2. 虽然支付宝微信转账会显示姓名的最后一个字,但支付宝微信也提供了手机查找开关,可以让用户关闭,阻止陌生人通过手机号搜索到自己,看到自己的姓名信息。而京东这个没有关闭选项,全世界的人都能用手机号邮箱用户名搜索到自己看到自己的姓名信息

3. 即使是姓名最后一个字,但实名了就能被查到,不实名就不会被查到,还是让实名用户有种被歧视不受尊重之感

4. 找回密码这个功能本身就没有显示姓名敏感信息的必要,那么原则上就不应该显示(data minimization)。正如 @lework1234 说的,“这找回密码为啥要显示呢,不能要求输入姓名和卡号么?为了体验不能牺牲安全啊”
真的要显示也请在添加银行卡页面之前再设一道验证门槛以阻止陌生人的访问,因为:

5. 我们在京东实名,可没有授权京东向全社会披露我们姓名的最后一个字啊
lzhw
    210
lzhw   11 天前
@ruixue 总结的非常好,谢谢

@MrZZZ 恕我冒昧,能否请求你帮忙把楼上这个帖子转发给相关同学,希望他们也能看一眼?非常感谢!
jandu
    211
jandu   11 天前
支付宝用手机号转账的时候也会显示对方姓名的一个字
ruixue
    212
ruixue   11 天前
@jandu 嗯,虽然支付宝转账会显示姓名的一个字,但支付宝也在隐私设置里提供了“通过手机号 /邮箱找到我”的开关,可以让有需求的用户关闭,阻止陌生人通过手机号 /邮箱搜索到自己并看到自己的姓名信息。而京东这个没有关闭选项,全世界的人都能用手机号邮箱用户名搜索到自己看到自己的姓名信息,而我们用户没有任何办法阻止。。

更何况,支付宝转账时怕转错账所以有必要显示对方姓名的一个字以辅助验证身份,京东这个只是在找回密码,本身就没有必要显示用户姓名这种敏感信息的啊😂
ruixue
    213
ruixue   11 天前
@lzhw 谢谢

@MrZZZ 同非常感谢!
lzhw
    214
lzhw   11 天前
@jandu 楼上说的都差不多了😂说到底是用户选择权的问题,在支付宝我可以选择为了手机号转账的方便而公开姓名的最后一个字供陌生人搜索查看,也可以选择更注重隐私宁愿不要这种方便而不公开姓名的最后一个字,支付宝尊重我的选择权,给了我设置开关(微信的手机号转账更是默认关掉的,默认用户更注重隐私)

而京东这个就等于剥夺了用户的选择权,你想公开也得公开,你不想公开也得公开。而且这个强迫用户“公开”的理由也不怎么站的住脚,单纯只是为了找回密码。。在我们的印象中,找回密码一般都是用户主动提供信息供网站验证身份,而不是网站主动显示用户信息让你看看这是不是你吧?
Arizas
    215
Arizas   11 天前
支持了
lzhw
    216
lzhw   11 天前
@Arizas 谢谢
lzhw
    217
lzhw   6 天前
同时期的网商银行输入手机号会暴露支付宝用户真实姓名的漏洞 /t/707160 已彻底修复,现在网商银行转账支付宝时需要同时输入对方姓名和对方支付宝账号,如果姓名账号不匹配则无法进入转账页面,彻底堵死了陌生人通过手机号获取姓名的可能性✌️

希望京东也能早日彻底修复这个找回密码暴露用户实名信息的漏洞啊,一个字都不显示给陌生人看。比如让用户自己输入姓名,或者在添加银行卡页面之前再设一道验证门槛(类似其他找回密码的方式需额外验证收货人姓名或身份 ID 后六位)以阻止陌生人的访问。谢谢!@keelii
yingfengi
    218
yingfengi   6 天前
狗东裤子都被脱了
lzhw
    219
lzhw   5 天前
@MrZZZ 请问有什么新进展吗?谢谢
MrZZZ
    220
MrZZZ   5 天前
@lzhw 没有新进展,刚刚试了试也没有修复,对我东的反应速度有点失望😥
MrZZZ
    221
MrZZZ   5 天前
@lzhw 哦,注意到隐藏了一个字。。。现在显示名字的最后一个字了。。。。。
lzhw
    222
lzhw   5 天前
@MrZZZ 谢谢。是的,现在是把显示两个字改成显示一个字了,但是这依然不是我们实名用户所希望的解决办法。我们还是希望能彻底解决这里的问题,一个字都不显示给陌生人看。比如让用户自己输入姓名,或者在添加银行卡页面之前再设一道验证门槛(类似其他找回密码的方式需额外验证收货人姓名或身份 ID 后六位)以阻止陌生人的访问。

同时期网商银行转支付宝暴露用户真实姓名的漏洞 /t/707160 现在已经彻底解决,用户必须同时输入对方的姓名和手机号才能进入转账页面了,彻底堵死了陌生人通过手机号获取姓名的可能性,这次阿里给用户的交代就很令人满意。我们现在就希望京东也能尽快跟进,彻底修复,一个字都不给陌生人看,而不是改成显示一个字就觉得可以了,不需要再修复了。。
lzhw
    223
lzhw   5 天前
@MrZZZ 我觉得#209 说的就很好,贴在下面希望你能再帮忙给相关同学反馈一下,转发给他们请他们看一眼,了解一下我们用户的心声,早日彻底修复此问题~非常感谢!

1. 对于单字名用户来说,显示一个字就等于显示“全名”了啊,这改了相当于没改,真是情何以堪

2. 虽然支付宝微信转账会显示姓名的最后一个字,但支付宝微信也提供了手机查找开关,可以让用户关闭,阻止陌生人通过手机号搜索到自己,看到自己的姓名信息。而京东这个没有关闭选项,全世界的人都能用手机号邮箱用户名搜索到自己看到自己的姓名信息

3. 即使是姓名最后一个字,但实名了就能被查到,不实名就不会被查到,还是让实名用户有种被歧视不受尊重之感

4. 找回密码这个功能本身就没有显示姓名敏感信息的必要,那么原则上就不应该显示(data minimization)。正如 @lework1234 说的,“这找回密码为啥要显示呢,不能要求输入姓名和卡号么?为了体验不能牺牲安全啊”
真的要显示也请在添加银行卡页面之前再设一道验证门槛以阻止陌生人的访问,因为:

5. 我们在京东实名,可没有授权京东向全社会披露我们姓名的最后一个字啊
lzhw
    224
lzhw   4 天前
@MrZZZ 非常感谢
zidansyx
    225
zidansyx   1 天前
我以为我没中招,直到我收到了短信居然叫出了我名字。目前可以确定是狗东或者淘宝干的,其他地方包括快递留的全是假名,手机号也不是这个,直接锁定这俩。
zidansyx
    226
zidansyx   18 小时 52 分钟前   ❤️ 1
公布下叫出我名字的手机号:17108116920,这手机归宿地我完全没交情,根本不可能认识,排除熟人恶作剧。
结合 @lzhw 发布的阿里狗东相关信息,排除了阿里泄露可能性。于是就剩下一下源头:狗东!
短信内容可以透漏出手机号是明显暴露了、我名字的后两字是暴露了(估计在狗东初期就被爬了)、另外性别暴露猜测身份证号也被暴露了。这明摆着狗东是给小偷开后门,说不定后面还有屁眼交易。
作为用户真的很无奈,我昨天发现实名泄露后尝试取消实名认证,发现狗东同时也会将身份、账户、会员权益清空且无法恢复、plus 会员权益取消、钢镚余额清空,明摆着提高取消实名的门槛。这次泄露我真是躺着也中枪。
目前本人已向京东邮件投诉,附件相关证据截图,顺便也附上 @lzhw 的相关狗东泄露信息链接,后续根据情况还要再走一波工信部。
zidansyx
    227
zidansyx   10 小时 14 分钟前   ❤️ 1
后续进展:狗东还是一如既往的机械式回复。
我对狗东回复很不满意,遂继续追究下去,对狗东的回复:
1.此手机号已实施分离需求,仅限狗东阿里使用。
2.支付宝网商银行我没有,所以支付宝通过漏洞泄露可能性没有,另支付宝已关闭通过手机查找,也排除通过支付宝账号转账获取姓名最后一个字可能。所以你们没必要通过特意放大支付宝链接进行甩锅行为。
3.通过排除法,只有你狗东前段时间的忘记密码可以通过手机号获取用户实名信息的漏洞存在泄露可能。也符合 V2EX 传言中狗东漏洞泄露显示除姓以外全名的特征。
4.修復漏洞过程可以看出你们对用户实名信息的不重视导致步骤缓慢。我甚至怀疑不止是我一个躺着中枪的。
5.通过忘记密码渠道可以让爬虫轻松获取用户实名资料,这也是你们狗东安全部门的失职。这个获取渠道直接降低了网络爬虫的门槛,建议你们重点查范自漏洞开始起频繁查询信息的 ip,必要时你们可以报警处理,而不是推给用户。这是你们闯下的祸根,没理由让用户给你擦屁股。
6.如果因信息泄露造成的社会问题,你们狗东也脱不了泄露的干系。建议公告京东用户,给出个解决方案,另我不介意浪费点时间通过把手机号换掉规避风险,至于其他用户如何抉择你狗东有提醒的义务。
7.如果还是机械式回复,没有给我合理的后续处理结果,我会投诉到工信部等其他部门。
lzhw
    228
lzhw   8 小时 16 分钟前
@zidansyx 需要注意的是,京东到现在也没有彻底修复这个漏洞,任何人随便输入一个手机号还是能查到对应实名的最后一个字,对于单字名用户来说就是全名。这么多天了我们已经多次呼吁和请求京东进一步处理,一个字都不要显示给陌生人看,也给出了我们认为更合适的解决方案:让用户自己输入姓名,或者在添加银行卡页面之前再设一道验证门槛(类似其他找回密码的方式需额外验证收货人姓名或身份 ID 后六位)以阻止陌生人的访问。但是直到现在也没有任何回音,更不用说处理修复了。

反观阿里这边类似漏洞的处理,现在网商银行转账支付宝时必须同时输入对方的姓名和手机号才能进入转账页面了,不匹配就到不了下一步,彻底堵死了陌生人通过手机号获取姓名的可能性,可以说给了用户一个很满意的交代。而京东把暴露两个字改成暴露一个字之后就迟迟没有动静,好像认为漏洞已经彻底堵死,用户没理由再要求更多。。这种对待用户隐私的态度确实令人失望。。甚至令人心寒。。

在我们的印象中,找回密码一般都是用户主动提供信息供网站验证身份,而不是网站主动显示用户信息让你看看这是不是你吧?那么在各大实名网站里面,为什么其他家都不会,偏偏就京东会在找回密码时暴露用户实名信息呢?实在令人想不通,可惜这就是目前的事实。。

#209 说的就挺好——单字名用户暴露全名的尴尬,不像支付宝微信能提供关闭查找开关、强行公开给任何人查询而没办法阻止,实名就能被查不实名就不会被查让实名用户有被歧视不受尊重之感,敏感数据最小化原则:没必要显示就不应该显示,用户也没有授权京东向全社会披露自己姓名的最后一个字。。每一点我觉得说的都很有分量,真的希望京东能好好看看~
1  2  3  
关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1087 人在线   最高记录 5168   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 20ms · UTC 22:59 · PVG 06:59 · LAX 15:59 · JFK 18:59
♥ Do have faith in what you're doing.