zidansyx 最近的时间轴更新
zidansyx

zidansyx

V2EX 第 457900 号会员,加入于 2019-12-07 05:19:01 +08:00
zidansyx 最近回复了
@lzhw 今天给的依旧是机械式回复,看来让狗东主动承认错误并作出行动是不可能了。我有个问题,京东这次涉嫌违法泄露用户实名信息,走哪个投诉渠道比较好。
@lzhw 昨晚已再测试,还是一如既往的显示对应实名的最后一个字。经过一晚上的纠结,最终还是在今早取消了京东实名。
后续进展:狗东还是一如既往的机械式回复。
我对狗东回复很不满意,遂继续追究下去,对狗东的回复:
1.此手机号已实施分离需求,仅限狗东阿里使用。
2.支付宝网商银行我没有,所以支付宝通过漏洞泄露可能性没有,另支付宝已关闭通过手机查找,也排除通过支付宝账号转账获取姓名最后一个字可能。所以你们没必要通过特意放大支付宝链接进行甩锅行为。
3.通过排除法,只有你狗东前段时间的忘记密码可以通过手机号获取用户实名信息的漏洞存在泄露可能。也符合 V2EX 传言中狗东漏洞泄露显示除姓以外全名的特征。
4.修復漏洞过程可以看出你们对用户实名信息的不重视导致步骤缓慢。我甚至怀疑不止是我一个躺着中枪的。
5.通过忘记密码渠道可以让爬虫轻松获取用户实名资料,这也是你们狗东安全部门的失职。这个获取渠道直接降低了网络爬虫的门槛,建议你们重点查范自漏洞开始起频繁查询信息的 ip,必要时你们可以报警处理,而不是推给用户。这是你们闯下的祸根,没理由让用户给你擦屁股。
6.如果因信息泄露造成的社会问题,你们狗东也脱不了泄露的干系。建议公告京东用户,给出个解决方案,另我不介意浪费点时间通过把手机号换掉规避风险,至于其他用户如何抉择你狗东有提醒的义务。
7.如果还是机械式回复,没有给我合理的后续处理结果,我会投诉到工信部等其他部门。
公布下叫出我名字的手机号:17108116920,这手机归宿地我完全没交情,根本不可能认识,排除熟人恶作剧。
结合 @lzhw 发布的阿里狗东相关信息,排除了阿里泄露可能性。于是就剩下一下源头:狗东!
短信内容可以透漏出手机号是明显暴露了、我名字的后两字是暴露了(估计在狗东初期就被爬了)、另外性别暴露猜测身份证号也被暴露了。这明摆着狗东是给小偷开后门,说不定后面还有屁眼交易。
作为用户真的很无奈,我昨天发现实名泄露后尝试取消实名认证,发现狗东同时也会将身份、账户、会员权益清空且无法恢复、plus 会员权益取消、钢镚余额清空,明摆着提高取消实名的门槛。这次泄露我真是躺着也中枪。
目前本人已向京东邮件投诉,附件相关证据截图,顺便也附上 @lzhw 的相关狗东泄露信息链接,后续根据情况还要再走一波工信部。
我以为我没中招,直到我收到了短信居然叫出了我名字。目前可以确定是狗东或者淘宝干的,其他地方包括快递留的全是假名,手机号也不是这个,直接锁定这俩。
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1015 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 13ms · UTC 19:48 · PVG 03:48 · LAX 11:48 · JFK 14:48
Developed with CodeLauncher
♥ Do have faith in what you're doing.