V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  lzhw  ›  全部回复第 1 页 / 共 10 页
回复总数  185
1  2  3  4  5  6  7  8  9  10  
2020-12-08 00:17:17 +08:00
回复了 ddgweb 创建的主题 分享发现 第一次知道 https 会暴露服务器 ip
类似这种批量扫描全网 ip 得到对应默认证书域名以建立反查数据库的搞法也是黑灰产最爱干的,之前泄露的微博 5 亿手机号绑定数据和 QQ 8 亿手机号绑定数据其实就是黑灰产遍历全网手机号段批量喂给微博和 QQ 的“通讯录自动匹配好友”接口获取的,有了海量的手机号和对应的微博 uid/QQ 号数据,自然就可以通过微博 uid 和 QQ 号来反查绑定的手机号~
@zidansyx 抱歉,我也不是很懂这些,只能帮忙提供一些思路,见谅。。可以参考一下#105 、#121 @libook 的帖子,试试工信部。互联网信息服务投诉平台、工商消协、12321 、12377 也可以考虑。由于京东的实名认证实际上是由京东金融提供的,暴露信息的绑卡页面也涉及银行的快捷支付签约,银监会投诉也可以试试。。

之前看到一篇文章,http://credit.fzgg.tj.gov.cn/459/33381.html,不由感慨现在确实好难,真希望以后能好起来。。
@zidansyx 唉。。真的很无奈。。祝你后续能成功。。

@MrZZZ 请问有什么新进展吗?谢谢
@zidansyx 需要注意的是,京东到现在也没有彻底修复这个漏洞,任何人随便输入一个手机号还是能查到对应实名的最后一个字,对于单字名用户来说就是全名。这么多天了我们已经多次呼吁和请求京东进一步处理,一个字都不要显示给陌生人看,也给出了我们认为更合适的解决方案:让用户自己输入姓名,或者在添加银行卡页面之前再设一道验证门槛(类似其他找回密码的方式需额外验证收货人姓名或身份 ID 后六位)以阻止陌生人的访问。但是直到现在也没有任何回音,更不用说处理修复了。

反观阿里这边类似漏洞的处理,现在网商银行转账支付宝时必须同时输入对方的姓名和手机号才能进入转账页面了,不匹配就到不了下一步,彻底堵死了陌生人通过手机号获取姓名的可能性,可以说给了用户一个很满意的交代。而京东把暴露两个字改成暴露一个字之后就迟迟没有动静,好像认为漏洞已经彻底堵死,用户没理由再要求更多。。这种对待用户隐私的态度确实令人失望。。甚至令人心寒。。

在我们的印象中,找回密码一般都是用户主动提供信息供网站验证身份,而不是网站主动显示用户信息让你看看这是不是你吧?那么在各大实名网站里面,为什么其他家都不会,偏偏就京东会在找回密码时暴露用户实名信息呢?实在令人想不通,可惜这就是目前的事实。。

#209 说的就挺好——单字名用户暴露全名的尴尬,不像支付宝微信能提供关闭查找开关、强行公开给任何人查询而没办法阻止,实名就能被查不实名就不会被查让实名用户有被歧视不受尊重之感,敏感数据最小化原则:没必要显示就不应该显示,用户也没有授权京东向全社会披露自己姓名的最后一个字。。每一点我觉得说的都很有分量,真的希望京东能好好看看~
@nisngyo 请问看到的是全部姓名(某某某),还是姓打了码的全名(*某某),还是最后一个字(**某)?谢谢

@thonatos 能否也关注并反馈一下楼上的这个问题?谢谢
@MrZZZ 非常感谢
@MrZZZ 我觉得#209 说的就很好,贴在下面希望你能再帮忙给相关同学反馈一下,转发给他们请他们看一眼,了解一下我们用户的心声,早日彻底修复此问题~非常感谢!

1. 对于单字名用户来说,显示一个字就等于显示“全名”了啊,这改了相当于没改,真是情何以堪

2. 虽然支付宝微信转账会显示姓名的最后一个字,但支付宝微信也提供了手机查找开关,可以让用户关闭,阻止陌生人通过手机号搜索到自己,看到自己的姓名信息。而京东这个没有关闭选项,全世界的人都能用手机号邮箱用户名搜索到自己看到自己的姓名信息

3. 即使是姓名最后一个字,但实名了就能被查到,不实名就不会被查到,还是让实名用户有种被歧视不受尊重之感

4. 找回密码这个功能本身就没有显示姓名敏感信息的必要,那么原则上就不应该显示(data minimization)。正如 @lework1234 说的,“这找回密码为啥要显示呢,不能要求输入姓名和卡号么?为了体验不能牺牲安全啊”
真的要显示也请在添加银行卡页面之前再设一道验证门槛以阻止陌生人的访问,因为:

5. 我们在京东实名,可没有授权京东向全社会披露我们姓名的最后一个字啊
@MrZZZ 谢谢。是的,现在是把显示两个字改成显示一个字了,但是这依然不是我们实名用户所希望的解决办法。我们还是希望能彻底解决这里的问题,一个字都不显示给陌生人看。比如让用户自己输入姓名,或者在添加银行卡页面之前再设一道验证门槛(类似其他找回密码的方式需额外验证收货人姓名或身份 ID 后六位)以阻止陌生人的访问。

同时期网商银行转支付宝暴露用户真实姓名的漏洞 /t/707160 现在已经彻底解决,用户必须同时输入对方的姓名和手机号才能进入转账页面了,彻底堵死了陌生人通过手机号获取姓名的可能性,这次阿里给用户的交代就很令人满意。我们现在就希望京东也能尽快跟进,彻底修复,一个字都不给陌生人看,而不是改成显示一个字就觉得可以了,不需要再修复了。。
@MrZZZ 请问有什么新进展吗?谢谢
同时期的网商银行输入手机号会暴露支付宝用户真实姓名的漏洞 /t/707160 已彻底修复,现在网商银行转账支付宝时需要同时输入对方姓名和对方支付宝账号,如果姓名账号不匹配则无法进入转账页面,彻底堵死了陌生人通过手机号获取姓名的可能性✌️

希望京东也能早日彻底修复这个找回密码暴露用户实名信息的漏洞啊,一个字都不显示给陌生人看。比如让用户自己输入姓名,或者在添加银行卡页面之前再设一道验证门槛(类似其他找回密码的方式需额外验证收货人姓名或身份 ID 后六位)以阻止陌生人的访问。谢谢!@keelii
@thonatos 谢谢!今天发现网商银行转账支付宝的时候需要同时输入对方姓名和账号了,谢谢相关安全同学的努力!谢谢!

不过我试了下发现了一些小小的不足,请允许我在这里描述一下,希望你能帮忙反馈给相关同学,看能再稍稍改进一下吗。。非常感谢

在转账界面输入一个不存在的支付宝账号,会弹出提示“无对应支付宝账户”。输入一个关闭手机号查找隐私开关的支付宝账号,如果账户名称(姓名)输的不对,会提示“户名账号不匹配”,但如果账户名称(姓名)输对了,会提示“账号不存在,或对方关闭了隐私开关”。

但实际上如果账号真的不存在,那么只会提示“无对应支付宝账户”,也就是说提示“户名账号不匹配”时,至少是存在对应的支付宝账号的,哪怕对应账号已经关闭了隐私开关,无非是姓名输的不对罢了;提示“账号不存在,或对方关闭了隐私开关”时,那也是存在对应的支付宝账号的,而且输入的姓名和手机号也肯定正确无误,只能说明这个人关闭了他支付宝账号的隐私开关,不可能是账号不存在。

能看得出这个地方的第一个条件判断是判断账号是否存在,第二个条件判断是判断户名账号是否匹配,第三个条件判断才是判断对方有无关闭隐私开关。我觉得把第三个条件判断移到最前面和第一个条件判断放在一起进行判断最好了,输入账号的时候如果账号不存在或者对方关闭了隐私开关,那么直接弹出提示“账号不存在,或对方关闭了隐私开关”就好,否则的话再进行户名和账号的匹配判断。这样应该比最后才判断隐私开关是否关闭要更合适一些。

最后还想再冒昧问一下,目前这样改了,以后还会不会修改姓名只显示一个字了?我是说通过点击支付宝联系人直接进入转账页面,在转账页面还是显示的两个字的全名,还是很容易能试出支付宝联系人的真实姓名。(支付宝里如果不向好友公开真实姓名,好友给自己转账的时候只会显示“对方已隐藏姓名”连姓名校验都没法做。)

谢谢!
@Arizas 谢谢
1  2  3  4  5  6  7  8  9  10  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   960 人在线   最高记录 6543   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 20ms · UTC 21:52 · PVG 05:52 · LAX 14:52 · JFK 17:52
Developed with CodeLauncher
♥ Do have faith in what you're doing.