支付宝用户们注意了,现在只要有人知道了你绑定支付宝的手机号,(不需要转账)就大概率能拿到你的真实姓名

lzhw:按理说支付宝在转账时只显示对方姓名的最后一个字,即使陌生人通过手机号搜索到自己的支付宝也很难获取自己的完整姓名,而且支付宝还在设置里提供了“通过手机号找到我”隐私开关可供有需求的用户关闭,彻底防止被陌生人用手机号搜索到自己的支付宝,但实际上支付宝这两个保护隐私的贴心设置在不久前已经能被网商银行的转账功能绕过而形同虚设了。

现在即使你没开通网商银行,并在支付宝里关闭了“通过手机号找到我”隐私开关,其他支付宝用户都无法通过手机号找到你,但网商银行用户依然能利用转账到支付宝的功能通过输入你的手机号强行找到你的支付宝,无视你支付宝已关闭手机号查找的隐私设置。

而且更关键的是其他人在网商银行的转账页面能直接看到你除姓以外的全名(*某某),不像支付宝和微信只能看到最后一个字(**某)。由于转账页面还提供了补全姓氏验证的功能,而前十大姓(王李张刘陈杨赵黄周吴)的人口就占了全国人口的 44%,所以即使不知道一个人的姓氏,尝试校验 10 次就有 44%的概率得到 TA 的全名,再往后多试几次概率更大。这样任何一个人都能很容易利用姓名校验功能输入常见姓氏撞出你的真实姓名,并不需要真的转账给你,零成本还无风险,无疑是对个人隐私的很大威胁。而你面对这种人肉搜索又没有任何办法(甚至你自己根本都不会知道已经被人 get 了机主真实姓名)~

上周我发了一个问题报告在全球工单节点 /t/705774,直到现在还没有得到任何阿里的人员的回应,更不用说修复了,觉得有必要新开一个帖提醒一下大家。提醒大家不要再相信关闭支付宝“通过手机号找到我”隐私开关就谁也没法用手机号找到你支付宝(网商银行用户照样能找),不要再相信大家转账支付宝前都只能看到对方姓名最后一个字(网商银行用户就是能看到两个字)。

由于我们用户没有任何措施来预防此类人肉搜索,只能希望网商银行能尽早尊重并同步支付宝的隐私设置(转账页只显示姓名的最后一个字,以及用户关闭了手机号查找那就是不能用手机号找)。不过我从另一个角度希望能给比较看重隐私的 V 友们一个建议(感谢 @lvybupt @imn1),建议把支付宝绑定的手机号改成使用频率低的专用号码,否则如果你用支付宝绑定的手机号同时注册了一堆网站,只要任一网站泄露了你的手机号(比如前段时间刷帖看到的微博泄露 5.38 亿用户名手机号关联数据库)几乎就等于同时泄露了你的真实姓名,随之而来的怕是更加精准的推销骚扰钓鱼诈骗以及更加容易的人肉搜索网络暴力了吧~

672795574:的确是个漏洞吧,但是知道手机号的情况下,我个人感觉知道姓名聊胜于无

allenby:有手机号,充个话费就知道名字了

giter:所以 GV 号的需求就来了

thonatos:感谢提醒,已进行内部反馈,等候相关同学核实中。

Leonard:我支付宝绑的 GV 号,能拿到我的真实姓名吗

a0000:@672795574 被骗子利用就麻烦了,骗子可以随便用手机号去测名字,再打电话:喂,是张三吗?吧啦吧啦

crokily:昨天去采耳,在美团上付款,付完以后美团的订单还挺正常的,就是显示店名。
但是在银行 APP 里查收支明细,“美团点评-王 X”明明白白地把真名显示出来了……

redtea:要是绑了电子邮箱,会显示前几位,这样如果是姓名拼音就危险了。

kangsheng9527:可以设置不能通过手机号查找

Nicoco:有手机号,充个话费就知道名字了

tiantangtianma:@Nicoco 怎么可能呢

lzhw:@672795574 也有很多情况是只想留手机号并不想留真实姓名的啊,比如各种国内网站的注册,因为 SMZ 的要求,我提交了我的手机号,如果真犯了事有关部门可以来抓我,但是并不意味着没事的时候我就希望网站知道我的真实姓名,给我发各种亲爱的 XXX 广告骚扰,如果网站再把我姓名-手机号信息卖给骗子的话我肯定更是烦不胜烦。

而且很多时候网站的数据安全做的不到位,把我的手机号泄露了出去,这种情况下别人未经授权知道了我的手机号,本来已经很恶心了,如果再知道姓名那就更恶心了。请允许我再用微博举个例子,除了公众人物大多数用户在微博上都是用昵称交流,注册也都是只留了手机号并没有填写真实姓名,之前那波 5.38 亿用户名-手机号数据库泄露也不涉及姓名信息。但是现在的话如果我哪天发了一条微博,有人看着不爽了,在泄露的数据库里通过用户名查到了我绑定的手机号,然后用网商银行转支付宝的这个漏洞撞出我的真实姓名,在微博上指名道姓的挂我骂我,你觉得我会是啥感觉?

lzhw:@allenby
@Nicoco
现在已经不行了,都是打了码的
而且这种获取名字的方式也类似于通过转账然后看银行流水,被查的用户是有感知的,并不像网商银行这种完全可以在对方不知情的情况下获取对方姓名

央行数字货币预测

dafsic:预测一下,当央行数字货币普及后,各种应用都可以用数字货币钱包登录。这样可以解决要记一堆密码的问题,也可以解决隐私泄露的问题。比如淘宝直接用钱包登录,买东西,快递到小区的丰巢后,用钱包扫描取件。各个网站只知道钱包地址这一个信息,如果需要,国家知道每一笔交易,好处不止这些。拭目以待。

求职是不是在求职平台网站活跃太久会被“降权”啊

laimikan:不知不觉求职有半年了在职,想换工作学历,大专不是人工作虽然难受,但是对于我这程度来说还算过得去就导致我想换又不是很急于是乎就变成了每日上去求职平台看看看到觉得合适的就投(大公司是不用想了,学历过不了投了也白投)觉得都不合适就算了有面试就去试试看也过了几家结果因为比如到岗时间、面试体验等乱七八糟的原因没去最近感觉我是不是被“降权”了还是说我把…

发现一个有意思的网站,查看你的下载历史

WingOnSummit:https://iknowwhatyoudownload.com/ 登录上去能看到你的 p2p 下载历史,有具体时间,甚至还能看到其他 IP 的下载历史。

这网站,正如网站名所说的,我知道你下载了什么……你怎么看?

lwlizhe:除了显示你自己的文件下载历史外,这网站好像还提供追踪别人 IP 的功能………… https://iknowwhatyoudownload.com/en/peer/ 咳咳咳,目前用的公司电脑,所以并不准,不过还是发现了些有趣的东西……比如说,我司有人用公司电脑,下了些嘿嘿嘿的东西…… 比如说: [200717][Queen Bee]村又さんの秘…

开发钓鱼网站有什么风险,会被抓吗

mswh:今天有人带价要我开发一个钓鱼网站,要我从代码到部署全部搞定,就一个登录页面,收发验证码,然后把验证码传到后台,虽然我觉得这种验证码传到后台又没用,别的平台肯定有验证验证码的功能。但是还是有点小担心,做这种钓鱼网站后面真的不会被抓吗?为了几千块钱是不是有点风险?dallaslu:会生孩子没屁眼