京东已实名用户注意了,现在任何人都能通过你京东的手机号/邮箱/用户名查到你(姓以外)的实名信息
lzhw · 2020-09-15 20:13:13 +08:00 · 35438 次点击这是一个创建于 1514 天前的主题,其中的信息可能已经有所发展或是发生改变。
方法很简单,京东找回密码,输入手机号 /邮箱 /用户名,下拉选择“修改关联手机号”,再选择“使用 关联新银行卡”,就可以在添加银行卡的页面看到对应京东用户的真实名字(*某某)和打了码的身份证号。(感谢/t/707160 #37 @Keng )
大家可以试着找回一下自己的密码就更清楚了。
刚刚担心完支付宝大概率能被人通过手机号拿到真实姓名,现在又轮到京东了,真的防不胜防,实在太恶心了。。
有京东的 V 友能帮忙反馈一下吗?不过找回一个密码,又不是转账,有必要在这里显示用户的真实名字吗?如果真的是自己在找回,也没必要显示,甚至连名字也可以做成校验项;如果不是自己在找回,自己的真实名字不就泄露给别有用心的陌生人了吗?
哪怕学支付宝和微信只显示最后一个字(**某)也好啊,显示全名真的简直了。。我在京东上实名可不是要你把我的名字随便给试图找回我密码的阿猫阿狗看的。。
希望京东能早日改进一下这里的显示,尊重和保护实名用户的隐私信息安全。
第 1 条附言 · 2020-09-15 21:38:16 +08:00
即使现在信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望京东能重视并解决这个问题~
第 2 条附言 · 2020-09-16 00:48:54 +08:00
除了手机号这层泄露之外,好多用户的常用邮箱就是他的 QQ 数字邮箱,如果绑定在京东实名账号上的话,陌生人只要知道他的 QQ 号,就可以在找回密码那里输入“QQ 号 @qq.com”查到他的真实名字。而且即使不是用的 QQ 数字邮箱,常用邮箱注册了很多网站的话,其他网站泄露了邮箱地址,同样可以查到他的真实名字,所以邮箱这里的风险也不小
建议大家能解绑的话先尽量解绑一下京东的邮箱,至少能减少一层被查询和泄露的渠道,也算是尽自己所能去降低风险了😭
建议大家能解绑的话先尽量解绑一下京东的邮箱,至少能减少一层被查询和泄露的渠道,也算是尽自己所能去降低风险了😭
第 3 条附言 · 2020-09-16 20:18:00 +08:00
2020-09-16 晚 8 点更新:现在问题已基本修复,通过帖子中的方法只能看到真实姓名的最后一个字了,谢谢帮忙反馈的各位,谢谢!
不过恕我之前考虑不周,如果考虑到单字名用户依旧会暴露“全名”的尴尬,其实还是希望京东能彻底取消姓名的显示的,毕竟这只是个密码找回功能嘛。。如果确实怕用户混淆,请用户自己输入姓名最后一个字做验证(参考#165)或把最后一个字改成拼音显示(参考#160)也好。。
抱歉有点贪心了:请问京东日后能否进一步优化一下?
无论如何,再次感谢所有关注和支持此问题的 V 友们
不过恕我之前考虑不周,如果考虑到单字名用户依旧会暴露“全名”的尴尬,其实还是希望京东能彻底取消姓名的显示的,毕竟这只是个密码找回功能嘛。。如果确实怕用户混淆,请用户自己输入姓名最后一个字做验证(参考#165)或把最后一个字改成拼音显示(参考#160)也好。。
抱歉有点贪心了:请问京东日后能否进一步优化一下?
无论如何,再次感谢所有关注和支持此问题的 V 友们
第 4 条附言 · 2020-09-20 19:12:27 +08:00
请恕我考虑不周,在第三条附言里面用了“已基本修复”的描述,虽然后面也呼吁京东进一步改进,但之前确实没有认识到问题的严重性。现在看到了大家的回复,深深明白显示姓名的一个字给陌生人看也是极不妥当的,确实不应该认为问题“已基本修复”了,只能说“比之前好了点”,抱歉😭
衷心希望京东能继续改进,做到一个字也不要显示给陌生人看,真正修复此问题。谢谢!
贴一段 V 友的总结(感谢 @ruixue ),恳请京东的同学能来看看:
1. 对于单字名用户来说,显示一个字就等于显示“全名”了啊,这改了相当于没改,真是情何以堪
2. 虽然支付宝微信转账会显示姓名的最后一个字,但支付宝微信也提供了手机查找开关,可以让用户关闭,阻止陌生人通过手机号搜索到自己,看到自己的姓名信息。而京东这个没有关闭选项,全世界的人都能用手机号邮箱用户名搜索到自己看到自己的姓名信息
3. 即使是姓名最后一个字,但实名了就能被查到,不实名就不会被查到,还是让实名用户有种被歧视不受尊重之感
4. 找回密码这个功能本身就没有显示姓名敏感信息的必要,那么原则上就不应该显示(data minimization)。正如 @lework1234 说的,“这找回密码为啥要显示呢,不能要求输入姓名和卡号么?为了体验不能牺牲安全啊”
真的要显示也请在添加银行卡页面之前再设一道验证门槛以阻止陌生人的访问,因为:
5. 我们在京东实名,可没有授权京东向全社会披露我们姓名的最后一个字啊
衷心希望京东能继续改进,做到一个字也不要显示给陌生人看,真正修复此问题。谢谢!
贴一段 V 友的总结(感谢 @ruixue ),恳请京东的同学能来看看:
1. 对于单字名用户来说,显示一个字就等于显示“全名”了啊,这改了相当于没改,真是情何以堪
2. 虽然支付宝微信转账会显示姓名的最后一个字,但支付宝微信也提供了手机查找开关,可以让用户关闭,阻止陌生人通过手机号搜索到自己,看到自己的姓名信息。而京东这个没有关闭选项,全世界的人都能用手机号邮箱用户名搜索到自己看到自己的姓名信息
3. 即使是姓名最后一个字,但实名了就能被查到,不实名就不会被查到,还是让实名用户有种被歧视不受尊重之感
4. 找回密码这个功能本身就没有显示姓名敏感信息的必要,那么原则上就不应该显示(data minimization)。正如 @lework1234 说的,“这找回密码为啥要显示呢,不能要求输入姓名和卡号么?为了体验不能牺牲安全啊”
真的要显示也请在添加银行卡页面之前再设一道验证门槛以阻止陌生人的访问,因为:
5. 我们在京东实名,可没有授权京东向全社会披露我们姓名的最后一个字啊
 |
1
matong009 2020-09-15 20:20:35 +08:00
我擦,京东现在这么不小心吗,可以删除实名不??
|
 |
2
lloovve 2020-09-15 20:27:02 +08:00 via iPhone
验证了
|
 |
3
lzhw OP  1
@matong009 你不妨问问客服,应该可以删除吧😭
反正仅绑定手机号但没通过身份证银行卡实名的用户,被找回密码是不能用添加银行卡验证这个方式的,也就不会泄露真实名字信息(也没有信息可泄露),但是未实名的话是无法享受京东 plus 的权益的。。 |
 |
4
redtea 2020-09-15 20:29:36 +08:00 1
已重现,不过个人感觉还是支付宝里网商银行的危害大,毕竟不是人人都有京东账号。
|
 |
6
xunco 2020-09-15 20:42:37 +08:00 via iPad 2
重现,取消实名了,真坑
|
 |
7
madNeal 2020-09-15 20:43:52 +08:00
打码了呀
|
 |
8
jon 2020-09-15 20:43:53 +08:00 5
我也中枪了东哥你出卖兄弟啊
|
 |
9
motai 2020-09-15 20:46:29 +08:00
你们用其他的人手机号试试,没在你电脑登陆过的账户,过不了安全校验的
|
|
10
motai 2020-09-15 20:48:09 +08:00
好像确实可以
|
 |
11
azhi2007 2020-09-15 20:51:05 +08:00 via iPhone 1
我早取消实名了 跟京东金融客服投诉了好几个回合才肯帮取消实名 非要手持证件照 我没同意
|
|
12
lzhw OP 1
@madNeal 只打码了姓,名字不管几个字都是全部显示的,陌生人完全可以再结合支付宝转账的姓氏校验功能交叉验证撞出全名😭
|
 |
13
PopRain 2020-09-15 20:54:27 +08:00
用我的手机号,可以重现,用我老婆的手机号,不能重现。
|
 |
15
ryanlid 2020-09-15 20:55:55 +08:00
这只知道名字呀。还不是全名
在营业厅帮他缴点费,发票上会有机主姓名,或者也可以缴费,输完号码营业员会问你是不是 某某 |
|
16
lzhw OP 1
@motai 我试了,还是异地的好友,我这边从没登录过他的账号,只有第一步输入手机号 /邮箱 /用户名时做了个图形验证,之后的几步都是安全校验直接过,然后就成功进入添加他银行卡的页面,看到他的真实名字和打了码的身份证号了
|
|
17
lzhw OP @ryanlid 现在营业厅缴费获取的机主信息也是打了码的
而且这种获取名字的方式也类似于通过转账然后看银行流水,被查的用户是有感知的,并不像京东找回密码这种完全可以在对方不知情的情况下获取对方名字,而且零成本门槛低无风险,我觉得京东这个还是更可怕也更容易被滥用吧 |
|
18
lzhw OP @PopRain 可能是尊夫人的京东账号只绑定了手机号没有用身份证银行卡实名过吧😂这种被找回密码是不能用添加银行卡验证这个方式的,也就不会泄露真实名字信息(也没有信息可泄露)
|
 |
20
laoyur 2020-09-15 21:17:44 +08:00
挺坑的,只隐藏了姓
想起来还有个坑货,招商银行,以前发营销短信过来,都是直呼我全名的 |
 |
21
lp10 2020-09-15 21:22:55 +08:00
能看到真实名字(不含姓氏),以及身份证的第一位和最后一位。
说是“查到你(姓以外)的实名信息”有点夸张,不过相当于手机号查名字,这个还是挺麻烦的 |
 |
23
sagaxu 2020-09-15 21:28:02 +08:00 via Android
快递单上姓名手机住址齐全,都泄露几百回了,
|
 |
24
dji38838c 2020-09-15 21:30:58 +08:00
作为 实名 /手机 /身份证 /地址 早已经在社工库里可以查到的人 (酒店泄露)
已经无所谓了。 |
|
25
madNeal 2020-09-15 21:31:49 +08:00
你们想什么呢,你以为你的全名在网络上还是隐藏的吗,你去 tg 的社工机器人查一下,搞不好身份证都有
|
|
26
lzhw OP 4
@sagaxu 我收件人可以只填 X 先生 /X 女士,只透露姓,但是面对京东这种手机号查名字的漏洞,两相结合我真的不想爆粗口😭
话说回来,即使现在身份信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望京东能重视并解决这个问题吧~ |
|
27
lzhw OP 2
|
 |
28
reus 2020-09-15 21:35:01 +08:00 via Android
无所谓,姓名身份证号这些,有恶意的早就掌握了,无恶意的拿来也没用。又不是密码,密码泄露了可能引诱犯罪,这些信息在我看来不算核心隐私。
|
|
29
lzhw OP 1
|
 |
30
vfxx 2020-09-15 21:37:12 +08:00
我擦嘞
|
|
31
reus 2020-09-15 21:38:23 +08:00 via Android
开发人员没有意识到姓氏的选择有限,而且分布集中,是一种设计失误,别说得好像别人故意要泄露似的。
通常惯例是通知厂商,修复之后才公布。你就这么公布出来,批判京东是爽了,但实际是有害的行为。 |
|
32
madNeal 2020-09-15 21:40:45 +08:00
@lzhw 应用的安全和便捷很多情况是有冲突的,如果有时候做的太过分就会影响正常的使用,最好是把我这个度,我觉得打码姓,身份证号只保留第一位和最后一位,我觉得是可以接受的。不然甚至都无法确定是不是自己的账户
|
|
33
sagaxu 2020-09-15 21:41:17 +08:00 via Android 1
|
|
34
lzhw OP |
|
35
lzhw OP 4
|
 |
36
justd 2020-09-15 22:03:22 +08:00 1
我也复现了…… 很害怕啊我现在跟光身子逛大街一样
|
 |
37
RouJiANG14 2020-09-15 22:14:31 +08:00
嗯?我的是都带星号的啊。。。姓名就光姓氏,身份证就第一位和最后一位。
|
 |
38
ShuoHui 2020-09-15 22:17:27 +08:00 via iPhone 3
“即使现在信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求” 说的太棒了。
|
 |
39
Keng 2020-09-15 22:18:51 +08:00 via iPhone 2
@reus 我是告诉了客服的,客服完全不在乎。
我同时还说了另一个问题,京东早期用户用手机注册的时候默认的用户名是手机加_p,例如 13088888888_p,还不允许修改。客服就是不断重复:请理解。 我们认为这是安全 bug,京东认为这是 feature 呢😂 |
|
40
Keng 2020-09-15 22:25:07 +08:00 via iPhone
各位老哥也不用慌,要相信我们的这些信息早就入裤了…
前几天 信息安全老骆驼 那篇文章确实让我慌了,赶紧检查自己相关信息,反复测试重要 app 的安全性、各种解绑改名、注销了闲置的银行卡、开了新手机号给银行用、注销美团、注销各种旅游和购票网站… 结论就是:只要还有以京东和美团为代表的这些短板在,你再怎么挣扎都没用,一旦手机验证码失守你就裸奔了,只能尽可能保护好自己的手机… |
 |
41
harmless 2020-09-15 22:25:52 +08:00 via Android 1
已经反馈了 你们也可以去京东 src 提个漏洞 让安全去推这个事情
|
 |
42
taobibi 2020-09-15 22:26:05 +08:00 5
居然发现自己的全名被泄露了。感谢楼主及时发现这个漏洞
楼主的观点很赞同,虽然我们在保护个人信息方面的力量很渺小。各种隐私泄露满天飞 ,但不意味着我们裸奔就是对的。 信息保护和实名制的方式,真应该改进一下了 |
 |
43
whoami9894 2020-09-15 22:28:48 +08:00
修复了?我试了身份证号是加*的
|
 |
44
wanyulaowang 2020-09-15 22:33:34 +08:00 via Android 1
刚反馈 push 客服,客服要转到金融客服,不过已经登记了,等明天金融回电看看什么情况吧
|
|
45
lzhw OP @madNeal 支付宝和微信转账的时候也只显示对方姓名的最后一个字,这两家公司都认为这已经是“保护用户隐私”和“防止转错帐”之间的一个良好折中😭我怎么也想不通自己找回自己的密码的时候,还需要看到自己的全名才能确保是自己的账户,讲道理找回密码时要你主动输入自己的姓名做验证都是完全可以的😭
@justd 希望你没有看到我另一个关于“支付宝大概率能被人通过手机号拿到真实姓名”的帖子,否则会更难受😭 @RouJiANG14 @whoami9894 抱歉我可能在标题中没有描述妥当,目前泄露的就是用户除了姓以外的全名(*某某),身份证号是打了码的 |
 |
46
kangsheng9527 2020-09-15 22:35:56 +08:00
赔偿!
|
 |
48
ddefewfewf 2020-09-15 22:59:03 +08:00
实名真好
|
 |
49
lvybupt 2020-09-15 23:05:00 +08:00
谢 @提醒。
其实没什么可看的,都是有很大的隐私泄漏风险。像我们这种搞理论的,肯定觉得这是个毁灭级的漏洞了。 也像之前那个帖子里回复的一样,你向他们开发反馈的话,他们只认为这是个 feature,不会认为这是个 bug 。 不过我还是要给你打针安慰剂 也没有什么过分恐慌的。 验证码防爬虫,后面的安全组策略多次尝试会禁用 IP,这些基本配置都有,脱裤撞裤的风险有,但是不算太高。 毕竟动态 IP 库+验证码识别+法律风险+低收益 获得两个打码的信息。有更多廉价渠道能获得大量的其他信息。 我的建议还是手机号码隔离,注册绑定账号和常用手机号分开。 没有人知道你的注册手机号和注册邮箱也就不会有后面的了 其实最大的安全威胁目前还是来自于社会工程学。 但是针对你展开社公的话,你的姓名和常用手机号一定早被它知道了,甚至生日住址学校等等。否则这么多人,选择一个 0 信息的人社工就是一个很迷的问题了。 |
 |
50
kerro1990 2020-09-15 23:15:23 +08:00
实名是为了防止电信诈骗,实名之后造成了精准电信诈骗。诈骗的人比我们自己更了解我们自己
|
|
51
lzhw OP |
|
52
lzhw OP |
 |
53
xFrye 2020-09-16 00:10:30 +08:00
真的很感谢楼主的提醒。。。。 我感觉你要是继续深挖下去会有更多的平台出现这样的漏洞
|
 |
54
talentr9 2020-09-16 00:12:32 +08:00 via iPhone
你要自由干什么?你要隐私干什么?
|
 |
55
hafuhafu 2020-09-16 08:24:53 +08:00
已复现。不过其实这个还算好了,和支付宝转账类似。不过如果只是要全名信息,用常用手机号大概率能直接获取。
最近发现 QQ 号和绑定手机被泄露,而且是很新的数据。能查到我老 qq 号和旧绑定手机我丝毫不惊讶,但是能查到我没有加任何人的小号和去年刚办没怎么使用的手机卡我是没想到的。我都怀疑是否有内鬼了。 |
 |
56
maxxfire 2020-09-16 09:07:33 +08:00 1
君子坦蛋蛋,小人藏鸡鸡。不做亏心事,不怕鬼敲门。对于隐私问题,我早已麻木,也早已绝望。
|
 |
57
Felldeadbird 2020-09-16 09:19:27 +08:00
复现成功,确实如此。
尽管数据处理过了。 但是名字能不能 去掉呀。。。 |
 |
58
undef404 2020-09-16 09:23:00 +08:00
这种不应该直接投诉工信部么?
|
 |
59
yuhaijiang2019 2020-09-16 09:26:06 +08:00
这种早就可以了啊,灰产想获得你信息太简单了,而且做灰产的极多(一般的户籍信息最便宜,只需要几十块钱,车辆信息 100 元左右,最贵的要数外卖和快递地址,市场价在几百到上千元。)-我们省新闻报道的,真的分分钟你住几号房都能给找出来
|
|
60
lzhw OP |
 |
61
jeremaihloo 2020-09-16 09:35:00 +08:00 1
有京东和支付宝的员工吗
和你们公司反映一下吧 |
|
62
lzhw OP @maxxfire
@yuhaijiang2019 即使现在信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望京东能重视并解决这个问题~ 真不想破罐破摔啊😭 |
 |
63
Unclev21x 2020-09-16 09:42:37 +08:00
如果可以登录已实名账户,请使用已实名账户登录京东金融 App,点击 [(右下角)我的-头像-实名认证-(页面最下方)我的客服-取消实名] ,根据页面引导操作取消即可。
如果无法登录已实名账户,请使用其他账户登录京东金融 App,点击 [(右下角)我的-头像-实名认证-(页面最下方)我的客服-找回实名] ,根据页面引导找回实名账户,然后继续使用或根据以上步骤操作取消实名。 温馨提示:若您开通了 PLUS 会员,请在取消实名后的 3 个工作日内重新实名,否则 PLUS 会员会自动关闭。若您开通了白条闪付,取消实名需注销白条闪付,且白条闪付注销后无法恢复。实名认证取消完成后,会导致您账户内的钢镚余额直接按过期处理,无法再使用。 plus 会员表示牛逼了。 |
 |
65
keepeye 2020-09-16 09:48:01 +08:00
复现了 身份号只能看到第一位和最后一位,也许结合社工库能还原出来?
|
|
66
lzhw OP 1
@hafuhafu 实际上“网商银行转账支付宝大概率能拿到姓名”这个问题可能要更严重一些,因为转账页面提供了姓名校验功能,完全可以多次尝试输入常见姓来把全部真实姓名撞出来。。
即使网商银行的那个漏洞修复了,支付宝转账还是能把姓试出来,和京东暴露的全名交叉验证一下也就能拿到全部真实姓名了。。不过好在支付宝这里可以关闭手机查找,这样别人就无法在支付宝里通过手机号搜索到自己的支付宝了(无法关闭的是网商银行对支付宝用户的手机查找,但是假设这个问题已经被修复) 不管怎样,还是希望支付宝和京东的两个漏洞都能早日得到解决吧😭 |
 |
67
cnleo 2020-09-16 09:50:27 +08:00 via Android
为啥找回密码的步骤是 输入账号 /手机号》选验证方式(手机+身份证 和 手机+历史收货)》手机验证码》输入部分身份证号码 》然后就到重置密码啦
|
 |
68
S9Yh4wIFsBG7jnE4 2020-09-16 09:53:13 +08:00
好像没法注销实名啊
|
|
69
lzhw OP 1
@Felldeadbird 是的啊,这只是个密码找回,又不是转账,显示用户名字是要干嘛。。自己找回自己的密码还能不知道自己叫什么吗。。反倒是被别有用心的陌生人看见了就麻烦了。。而且就算是转账,现在支付宝和微信都只是显示姓名的最后一个字了,京东这直接显示全名更是没道理。。
|
|
70
lzhw OP |
 |
71
JellyDong 2020-09-16 09:56:59 +08:00
9.16 试了一下,没有直接出来,不知道是不是修复了?
为确认是您本人操作,请选择以下任一方式完成身份认证 使用 E-mail 验证码 + 银行卡信息使用 手机短信验证码 + 身份 ID 使用 手机短信验证码 + 收货人姓名 |
 |
72
lucas4585 2020-09-16 10:02:37 +08:00 1
看这个》一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》
https://mp.weixin.qq.com/s/LfKYjJvvFcnV7Mxp-7jsEw |
 |
73
datoujiejie221 2020-09-16 10:02:47 +08:00
怪不得最近周围好几个人收到京东金条的诈骗电话,而且名字也准确
|
 |
77
hejw19970413 2020-09-16 10:06:57 +08:00 1
我自己亲测 好几遍,用谁的都可以,只要是实名过的
|
|
78
lzhw OP |
 |
81
hullhutt 2020-09-16 10:25:16 +08:00
用火狐浏览器,提示:很抱歉,账号无可用认证方式
谷歌浏览器和 edge 会暴露姓名 |
 |
82
guanhui07 2020-09-16 10:35:00 +08:00
还真的是
|
 |
84
leekafai 2020-09-16 10:37:43 +08:00
工信部走起
|
 |
85
zhbzhbzhbz 2020-09-16 10:42:30 +08:00
@madNeal 没错~所以只能是说,类似邮箱这种用来找回密码的东西一定要单独设就行
|
 |
86
lusi1990 2020-09-16 10:45:45 +08:00
成功复现, 之前爬京东就发现有些接口是不需要验证就可以爬了
|
 |
87
leeg810312 2020-09-16 10:49:33 +08:00 via Android
各家的安全单独看是没有问题的,只显示姓或只显示名,共同使用才会产生安全漏洞,你不能单方面说是京东的问题或是阿里腾讯的问题。你能规定各家的安全规则一致吗?
|
 |
88
sleepm 2020-09-16 10:52:32 +08:00
58 啥的简历没人关注么
只要设置不当,别人随意看 哪年上的啥大学,叫啥,手机号,甚至驾照都能看到 |
 |
89
showgood163 2020-09-16 10:55:26 +08:00
@talentr9 已 b
|
|
90
lzhw OP @leeg810312 京东这个确实需要其他来源的信息交叉验证,但是我另一个帖子里提到的“网商银行转账支付宝大概率能拿到姓名”的漏洞 /t/707160 就完全不需要其他信息来源,通过转账页面的姓名校验功能输入常见姓氏进行碰撞就大概率能拿到对方真实姓名。。
前十大姓(王李张刘陈杨赵黄周吴)的人口就占了全国人口的 44%,即使不知道一个人的姓氏,尝试校验 10 次就有 44%的概率得到 TA 的全名,再往后多试几次概率更大 |
 |
91
DandelionFlowers 2020-09-16 11:11:32 +08:00 via Android
一个支付宝转账 一个京东找回密码 ...
|
 |
92
ruixue 2020-09-16 11:18:28 +08:00
吐了。。
有京东和支付宝的员工吗?请和你们公司反映一下吧 |
 |
93
MrZZZ 2020-09-16 11:33:04 +08:00 4
@lzhw 细思极恐!!!我刚刚复现了一下,居然真的查出了一个随便输入的手机号的名字和部分银行卡号!!!
我已经在内网上反馈这个事情了,后续应该有人会跟进,如果有回复,我会更新的!!! |
 |
94
TypeError 2020-09-16 11:43:13 +08:00 via Android 2
推广实名制的都该死
|
 |
95
SenLief 2020-09-16 11:43:50 +08:00
我这面无法显示全名,只能显示一个字,以及身份证号的第一位和最后一位。其实这部分已经没有意义了,因为我这些注册的都是用了一个不用的手机号,只用来收验证码的。
|
|
97
lzhw OP @SenLief 确实是个好习惯,也建议大家都尽量多个手机号分离需求
不过还是想提醒一下,也要小心我在#51 里说的,其他网站泄露了你专门注册用的手机号,然后被人肉和网络暴力的可能性。。 还有,jd 泄露的就是除姓以外的真实名字,如果你只看到一个字,说明那个用户就是单字名,如果是双字名,就能看到两个字的~ |
|
98
SenLief 2020-09-16 12:18:04 +08:00
@lzhw 哈哈,一般情况下其实姓名和手机号已经泄露的差不多了,就连身份证都基本上泄露了,你去 tg 上找,发现有很多的手持都。所以说都不用被爆破,目前泄露的就那么几家大的在泄露,这是在国内无法处理的事情。
我小号 1 年一换,反正便宜。 |
|
100
lzhw OP @DandelionFlowers 真的要🤮了
|
Select Language