V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  lzhw  ›  全部回复第 6 页 / 共 10 页
回复总数  185
1  2  3  4  5  6  7  8  9  10  
@littiefish 不好意思,现在的问题就是即使你在支付宝里关闭了“通过手机号找到我”隐私开关,其他支付宝用户都无法通过手机号找到你,但网商银行用户依然能利用转账到支付宝的功能通过输入你的手机号强行找到你的支付宝并看到(*某某)这样的名字,也就是说“关闭手机搜索”这个设置已经形同虚设了😭
@menghan 还是姓太常见太好猜了,所以就不是大概率能被拿到真实姓名了,是肯定能被拿到,很慌啊好吧😭
@zhuweiyou 如果有时间的话可以看看我在 /t/705774 里 #18 的帖子,描述的情况应该就是你说的这个😂

简单说,通过转账来获取姓名的方式,一来用户会察觉,二来用户可以通过相关隐私设置来预防此类人肉攻击
对应起来说,网商银行这块比较麻烦的就是:
第一门槛低无成本不涉及金钱流动,用户被陌生人碰撞出了姓名也是毫无察觉
第二无论用户是不是设置了无法被查找的隐私开关,只要有手机号或邮箱都可以照查不误,用户没有预防的措施

所以我觉得网商银行的这个强制查找支付宝用户获取姓名的问题还是要比银行卡付款记录显示姓名的问题更容易被滥用也更值得注意😂
当然,哪怕银行卡付款记录显示姓名的问题确实更严重,我们也不希望破罐子破摔,啥都不 care 了,彻底放弃对隐私信息安全的追求,我觉得该说还得说,该反馈还得反馈嘛(参考我的第一条附言)
@nmdx 那你可以再看一下,现在支付宝尝试给他人转账确实是只显示对方姓名的最后一个字的(**某),和微信一样
@nmdx 支付宝现在转账是只会显示对方姓名的最后一个字的😂
@Keng 我去,这么恶心,简直了
@Leonard 明白了,谢谢你的解释

但是还想提醒一下,针对本帖讨论的这个漏洞,关闭了支付宝的“通过手机号找到我”隐私开关,网商银行搜索美国号码也是很可能能搜的到对应的支付宝的,如果你的姓氏还是较为常见的那种,你所说的“通过支付宝实名来确认 GV 属人信息这个门槛”就很可能低到了是个人都可以利用的程度了😭建议你有条件的话还是测试一下确认到底是什么情况为好

不过我也反应过来了,没人规定一个人只能用一个 GV 号,完全可以多个 GV 分级使用,“实名”了一个 GV 对其他的也没啥影响,该咋用还咋用啊。。
@thonatos 多说一句请恕我冒昧,我之前在工单节点发布的帖子对此讨论的更详细,希望你能一并反馈给内部同学
https://www.v2ex.com/t/705774
再次感谢!
@nicevar 唉,确实,针对网商银行转支付宝的这个姓名碰撞漏洞,在厂商修复之前我觉得我们自己能做的也无非就是多个手机号分离需求了😭说起来我名字有些偏生僻,现在还真是羡慕你这“泯然众人”的名字嗨😭
@kidult
@nicevar
即使现在身份信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望网商银行能重视并解决这个问题~真的不想破罐子破摔啊😭
@redtea 另外提一句,如果支付宝绑了电子邮箱,在设置里关闭“通过邮箱找到我”隐私开关也是没有用的,其他支付宝用户虽然无法再通过邮箱找到自己,但是网商银行用户依然可以直接输入邮箱找到,显示自己信息的界面和手机号搜索到的一样😭

而且还有一个问题,有部分 V 友喜欢用自己的个人域名邮箱来绑定账号,但是转账页面只会把邮箱用户名(前缀)从第四位之后隐藏,邮箱的域名(后缀)是全部显示的,而一般使用个人域名邮箱时,在用户名(前缀)方面普遍设置的也比较简单,比如 i 、me 、mail 、admin 、contact 什么的,从第四位之后打码就和没打一样,完整的邮箱名相当于都暴露了。。
@Leonard 想冒昧问一下,GV 号本身是不需要实名的,但是你这样绑定在了实名的支付宝上,不就相当于变相的实名了你的 GV 号了吗?这种“实名”了之后的 GV 号用在其他地方不会不方便吗?
@672795574 这个确实很恶心。。希望隐私保护大环境能越来越好吧

不过知道了姓名就能更加精准的推销骚扰钓鱼诈骗以及更加容易的人肉搜索网络暴力了,我觉得还是不要破罐子破摔的好,能争取还是尽量争取吧😭

就像我之前说的,即使现在身份信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望网商银行能重视并解决这个问题~
@ifxo 即使现在身份信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望网商银行能重视并解决这个问题~
@Johnny168 请看我#12 的帖子

手机(对运营商 /有关部门)实名和任何人都能通过手机找到我的实名是两码事
@kangsheng9527 不好意思,现在的问题就是即使你在支付宝里关闭了“通过手机号找到我”隐私开关,其他支付宝用户都无法通过手机号找到你,但网商银行用户依然能利用转账到支付宝的功能通过输入你的手机号强行找到你的支付宝,也就是说这个设置已经形同虚设了😭
@crokily 如果有时间的话可以看看我在 /t/705774 里 #18 的帖子,描述的情况应该和你的比较像😂

简单说,通过转账来获取姓名的方式,一来用户会察觉,二来用户可以通过相关隐私设置来预防此类人肉攻击
对应起来说,网商银行这块比较麻烦的就是:
第一门槛低无成本不涉及金钱流动,用户被陌生人碰撞出了姓名也是毫无察觉
第二无论用户是不是设置了无法被查找的隐私开关,只要有手机号或邮箱都可以照查不误,用户没有预防的措施

所以我觉得网商银行的这个强制查找支付宝用户获取姓名的问题还是要比银行卡付款记录显示姓名的问题更容易被滥用也更值得注意😂
当然,哪怕银行卡付款记录显示姓名的问题确实更严重,我们也不希望破罐子破摔,啥都不 care 了,彻底放弃对隐私信息安全的追求,我觉得该说还得说,该反馈还得反馈嘛(参考我的第一条附言)
@Leonard 不好意思,没条件测试通过 GV 号的搜索,你可以请身边有网商银行账户的朋友测试一下,让他在转账支付宝的页面输入你的美国号码看看能不能定位到你的支付宝😂
@redtea 是啊,转账页面会显示邮箱的前三位,如果包含姓的拼音,那基本上一猜一个准😭太可怕
@thonatos 非常感谢!
1  2  3  4  5  6  7  8  9  10  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2760 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 13ms · UTC 15:30 · PVG 23:30 · LAX 07:30 · JFK 10:30
Developed with CodeLauncher
♥ Do have faith in what you're doing.