网商银行的转账功能可绕过支付宝的隐私设置,强制通过手机号搜索到支付宝用户并获取用户名字

lzhw:先说一下我是怎么发现的。我的支付宝是用邮箱做用户名的,手机号只是安全绑定,未开通手机号登录,同时也在隐私设置里关闭了“通过手机号找到我”的开关,平时偶尔需要收款都是直接发二维码或者报邮箱。这是前提。

昨天有朋友要转账给我,还没等我给他看二维码,他就在网商银行的转账页面里输入我的手机号找到了我的支付宝,页面还显示出了我的两个字的名,姓是星号,他输入我的姓校验成功后页面就直接显示了我的全名。

而根据我的隐私设置,如果他是在支付宝里输入我的手机号尝试搜索我的账号,只会弹出提示“账号不存在,或对方关闭了‘通过手机号找到我’隐私开关”。而且即使他扫二维码或者输入邮箱找到了我,现在支付宝转账页面也默认只会显示对方姓名的最后一个字(对于我这种姓名是三个字的来说,除了姓之外,名的第一个字也是星号),输入姓校验通过也不会显示全名,中间那个字还是星号。

而网商银行这边不但能通过手机号找到关闭了“通过手机号找到我”隐私开关的我,还能向对方显示我全部的两个字的名,校验姓通过后直接就是全名。考虑到前十大姓(王李张刘陈杨赵黄周吴)的人口就占了全国人口的 44%,意味着即使不知道一个人的姓氏,尝试校验 10 次就有 44%的概率得到 TA 的全名。

也就是说哪怕关闭了手机号登录,哪怕关闭了“通过手机号找到我”隐私开关,只要对方从某种渠道获得了我们的手机号(比如前段时间刷帖看到的微博泄露 5.38 亿用户名手机号关联数据库),就有近半概率能通过网商银行目前的转账功能直接获取我们的真实姓名,零成本还无风险,无疑是对个人隐私的很大威胁。想到这里我真是背脊一阵发凉。也想建议大家,在有手机号搜索功能的各种 APP 里设置昵称不要使用自己的真实姓名,尽可能降低被精准地推销骚扰钓鱼诈骗以及人肉搜索网络暴力的概率。

我又和朋友试了一下,我这边把“通过邮箱找到我”隐私开关也关闭了,这时候他在支付宝里无论是搜索手机号还是邮箱都找不到我,只能扫我的二维码来转账,而网商银行输入我的邮箱依然成功找到了我的账号,显示出我的名字。。

感觉支付宝现在在隐私防陌生人探测方面做的就挺好,而网商银行这里,可能这个功能推出没多久,针对这方面的考量还是欠一些。阿里的同学能否帮忙反馈一下,优化改进网商银行这里的逻辑,向支付宝的隐私设置看齐,否则支付宝专门开发的“通过手机号 /邮箱找到我”隐私开关和转账页默认只显示姓名最后一个字以保护用户隐私的举措就没有实际意义了。

谢谢。

singerll:提个题外话,只要有手机号,根本就不需要网商银行,运营商就行,而且拥有这个权利的职工多到你无法想象。

lzhw:@singerll 是的,运营商当然可以查,但是这两年对这些地下产业链的打击力度是越来越大,不可能随便一个人问人家就给。之前看 B 站的视频,想通过运营商内鬼查询手机号机主信息,价格已经炒到了几百块,成本在这里很多想搞事的就熄了这个心了。但是网商银行这个不同,没有门槛,谁都可以尝试发起转账来碰撞姓名,风险自然就大得多了

vmebeh:现在手机号==身份证号
特别是疫情期间,各种村镇做的平台都是找的不知名小公司——实际这些平台也就一签到表的功能——现在身份信息都漏得差不多了

撸了个小软件,销售给老外,用过什么收款比较爽?

koal:撸了个小软件,销售给老外,用过什么收款比较爽? 目前有贝宝和 stripe 。 别的不清楚。 worldfirst 用于收款并转到支付宝上。 不知道我这流程行不行。 那个大佬做过,求流程。

水军是如何控制大量账号,不被平台发现的?

ergouO:现在网上水军那么多,基本每个平台都有对应的反作弊机制,比如检测 IP 、设备等,来判断是否是一个真人用户。水军手里往往控制大量的账号,很好奇他们为什么可以不被检测到呢?

异地注销宽带账号

ghjacky:问下万能的 v 友们,本人名下在异地有一固话宽带账号,想把它给注销了,有什么不用去当地营业厅办理的办法吗? 在那边也没啥熟人,一来回还得大几百大洋,太麻烦了!

骑电动车、共享电动车的哥们注意了!

coolair:请务必出门前看下黄历!!!远远得观察交警是不是烈日炎炎还站在大马路上、十字路口、安全岛,如果是请务必多个心眼。否则,可能遇到以下糟心事:( 1 )共享电动车查头盔。这事我碰见多次了,不是通查,是逮谁谁倒霉,可能你边上骑自己电动车的都没戴,但就查你,然后绿灯了,其他没戴头盔的都走了,就把你给扣下了。( 2 )别以为带了头盔,有牌照,有行驶证就安…

支付宝余利宝打不开了

nwg:北京 支付宝 余利宝 页面打不开pixiaotiao:可以打开啊,浙江杭州。 opengps:看了下我的 9 位数没问题