V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
GeekHub
lzhw
V2EX  ›  信息安全

京东已实名用户注意了,现在任何人都能通过你京东的手机号/邮箱/用户名查到你(姓以外)的实名信息

  lzhw · 4 天前 · 19280 次点击

方法很简单,京东找回密码,输入手机号 /邮箱 /用户名,下拉选择“修改关联手机号”,再选择“使用 关联新银行卡”,就可以在添加银行卡的页面看到对应京东用户的真实名字(*某某)和打了码的身份证号。(感谢/t/707160 #37 @Keng )

大家可以试着找回一下自己的密码就更清楚了。

刚刚担心完支付宝大概率能被人通过手机号拿到真实姓名,现在又轮到京东了,真的防不胜防,实在太恶心了。。

有京东的 V 友能帮忙反馈一下吗?不过找回一个密码,又不是转账,有必要在这里显示用户的真实名字吗?如果真的是自己在找回,也没必要显示,甚至连名字也可以做成校验项;如果不是自己在找回,自己的真实名字不就泄露给别有用心的陌生人了吗?

哪怕学支付宝和微信只显示最后一个字(**某)也好啊,显示全名真的简直了。。我在京东上实名可不是要你把我的名字随便给试图找回我密码的阿猫阿狗看的。。

希望京东能早日改进一下这里的显示,尊重和保护实名用户的隐私信息安全。

第 1 条附言  ·  4 天前
即使现在信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望京东能重视并解决这个问题~
第 2 条附言  ·  4 天前
除了手机号这层泄露之外,好多用户的常用邮箱就是他的 QQ 数字邮箱,如果绑定在京东实名账号上的话,陌生人只要知道他的 QQ 号,就可以在找回密码那里输入“QQ 号 @qq.com”查到他的真实名字。而且即使不是用的 QQ 数字邮箱,常用邮箱注册了很多网站的话,其他网站泄露了邮箱地址,同样可以查到他的真实名字,所以邮箱这里的风险也不小

建议大家能解绑的话先尽量解绑一下京东的邮箱,至少能减少一层被查询和泄露的渠道,也算是尽自己所能去降低风险了😭
第 3 条附言  ·  3 天前
2020-09-16 晚 8 点更新:现在问题已基本修复,通过帖子中的方法只能看到真实姓名的最后一个字了,谢谢帮忙反馈的各位,谢谢!

不过恕我之前考虑不周,如果考虑到单字名用户依旧会暴露“全名”的尴尬,其实还是希望京东能彻底取消姓名的显示的,毕竟这只是个密码找回功能嘛。。如果确实怕用户混淆,请用户自己输入姓名最后一个字做验证(参考#165)或把最后一个字改成拼音显示(参考#160)也好。。

抱歉有点贪心了:请问京东日后能否进一步优化一下?

无论如何,再次感谢所有关注和支持此问题的 V 友们
216 条回复    2020-09-18 18:40:11 +08:00
1  2  3  
lzhw
    201
lzhw   2 天前   ❤️ 1
请恕我考虑不周,在第三条附言里面用了“已基本修复”的描述,虽然后面也呼吁京东进一步改进,但之前确实没有认识到问题的严重性。现在看到了大家的回复,深深明白显示姓名的一个字给陌生人看也是极不妥当的,确实不应该认为问题“已基本修复”了,只能说“比之前好了点”,抱歉😭

还是希望京东能继续改进,做到一个字也不要显示给陌生人看,真正修复此问题。谢谢!
ruixue
    202
ruixue   2 天前   ❤️ 1
@lzhw 是的。即使显示一个字,那也是我真实姓名的一部分,对于单字名的用户更是“全名”了。在我没有义务向他人展示我姓名的一部分以辅助验证身份(比如接收转账)时,京东有什么理由把我姓名的一部分暴露出去,公开给全世界任何一个人查看呢?

即使是转账场景:微信转账显示姓名的一个字,但微信是默认关闭手机号转账的,陌生人不能通过搜手机号直接给我转账从而看到我姓名的一个字;支付宝转账也显示姓名的一个字,但支付宝也在隐私设置里提供了关闭手机号 /邮箱查找的功能,这样陌生人也不能通过搜手机号 /邮箱直接给我转账从而看到我姓名的一个字;而京东的这个“密码找回”可没有开关供我们用户关闭,任何人都能搜手机号 /邮箱 /用户名看到我姓名的一个字,我们用户没有任何办法阻止。。单字名用户更是情何以堪。。

找回密码真的不是这么找的。一个字那也是我真实姓名中的一个字,属于敏感信息的一部分,我不希望被别有用心的陌生人看到哪怕一个字就不应该被他看到哪怕一个字。所以我认为这个暴露实名信息的漏洞并没有彻底得到修复,这个密码找回的流程还是存在问题的。我想很多人应该和我一样也是这么认为的

希望京东能彻底修复这个暴露实名信息的漏洞,一个字都不要显示,让用户自己输入姓名,或者在添加银行卡页面之前再设一道验证门槛以阻止陌生人的访问
ruixue
    203
ruixue   2 天前
毕竟我们在京东实名,可没有授权京东向全社会披露我们姓名的最后一个字啊
YaakovZiv
    204
YaakovZiv   2 天前
我的身份证被一个已经注销的手机号绑了两年了,京东一直没给处理。客户原话就是请通过手持身份证上传照片的方式重新绑定身份。我就很抵触这种操作。
lzhw
    205
lzhw   2 天前
@simy 😂

@wangkun025 说的好

@ruixue 确实啊

@YaakovZiv 😖
lzhw
    206
lzhw   2 天前   ❤️ 1
@paradoxs 说的是,显示任何敏感信息(包括 1 个字)前,至少要有一个校验才对

能让陌生人无需提供其他任何信息,仅仅输入一个手机号 /邮箱 /用户名就能直接进入添加银行卡的页面,看到对应用户的敏感信息,这个逻辑说实话我到现在还是想不通
darknoll
    207
darknoll   1 天前
这有啥啊,三个字的名字只显示最后一个字,外卖透漏的信息都比这多
lzhw
    208
lzhw   1 天前   ❤️ 1
@darknoll 可问题是,不是谁都能拿到外卖透漏的信息,外卖用户也可以用假名让信息变得没有价值;而京东这个漏洞是任何人都可以输入手机号 /邮箱 /用户名查到对应用户的信息,必为真实实名信息而且用户没有办法阻止,等同于向互联网完全公开了,门槛和性质完全不一样啊

而且,即使现在信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望京东能彻底解决这个问题~
ruixue
    209
ruixue   1 天前   ❤️ 1
@lzhw 我再补充几点

1. 对于单字名用户来说,显示一个字就等于显示“全名”了啊,这改了相当于没改,真是情何以堪

2. 虽然支付宝微信转账会显示姓名的最后一个字,但支付宝微信也提供了手机查找开关,可以让用户关闭,阻止陌生人通过手机号搜索到自己,看到自己的姓名信息。而京东这个没有关闭选项,全世界的人都能用手机号邮箱用户名搜索到自己看到自己的姓名信息

3. 即使是姓名最后一个字,但实名了就能被查到,不实名就不会被查到,还是让实名用户有种被歧视不受尊重之感

4. 找回密码这个功能本身就没有显示姓名敏感信息的必要,那么原则上就不应该显示(data minimization)。正如 @lework1234 说的,“这找回密码为啥要显示呢,不能要求输入姓名和卡号么?为了体验不能牺牲安全啊”
真的要显示也请在添加银行卡页面之前再设一道验证门槛以阻止陌生人的访问,因为:

5. 我们在京东实名,可没有授权京东向全社会披露我们姓名的最后一个字啊
lzhw
    210
lzhw   1 天前
@ruixue 总结的非常好,谢谢

@MrZZZ 恕我冒昧,能否请求你帮忙把楼上这个帖子转发给相关同学,希望他们也能看一眼?非常感谢!
jandu
    211
jandu   1 天前
支付宝用手机号转账的时候也会显示对方姓名的一个字
ruixue
    212
ruixue   1 天前
@jandu 嗯,虽然支付宝转账会显示姓名的一个字,但支付宝也在隐私设置里提供了“通过手机号 /邮箱找到我”的开关,可以让有需求的用户关闭,阻止陌生人通过手机号 /邮箱搜索到自己并看到自己的姓名信息。而京东这个没有关闭选项,全世界的人都能用手机号邮箱用户名搜索到自己看到自己的姓名信息,而我们用户没有任何办法阻止。。

更何况,支付宝转账时怕转错账所以有必要显示对方姓名的一个字以辅助验证身份,京东这个只是在找回密码,本身就没有必要显示用户姓名这种敏感信息的啊😂
ruixue
    213
ruixue   1 天前
@lzhw 谢谢

@MrZZZ 同非常感谢!
lzhw
    214
lzhw   1 天前
@jandu 楼上说的都差不多了😂说到底是用户选择权的问题,在支付宝我可以选择为了手机号转账的方便而公开姓名的最后一个字供陌生人搜索查看,也可以选择更注重隐私宁愿不要这种方便而不公开姓名的最后一个字,支付宝尊重我的选择权,给了我设置开关(微信的手机号转账更是默认关掉的,默认用户更注重隐私)

而京东这个就等于剥夺了用户的选择权,你想公开也得公开,你不想公开也得公开。而且这个强迫用户“公开”的理由也不怎么站的住脚,单纯只是为了找回密码。。在我们的印象中,找回密码一般都是用户主动提供信息供网站验证身份,而不是网站主动显示用户信息让你看看这是不是你吧?
Arizas
    215
Arizas   1 天前
支持了
lzhw
    216
lzhw   1 天前
@Arizas 谢谢
1  2  3  
关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1251 人在线   最高记录 5168   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 31ms · UTC 18:39 · PVG 02:39 · LAX 11:39 · JFK 14:39
♥ Do have faith in what you're doing.