V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
JCZ2MkKb5S8ZX9pq
V2EX  ›  全球工单系统

摩拜单车这类公司是怎么获得用户实名的?

  •  
  •   JCZ2MkKb5S8ZX9pq · 2018-08-22 18:01:16 +08:00 · 3930 次点击
    这是一个创建于 2270 天前的主题,其中的信息可能已经有所发展或是发生改变。

    背景

    刚才打了个摩拜客服,直接被问到真实姓名。
    但是我是微信小程序注册的,不记得有填过名字。

    报微信昵称不对,报胡伟伟也不行,后来又瞎报了几个,替换姓名的各个位置,都是秒否
    最后报了真名,通过了。

    1. 客服能直接查询用户的手机和实名

    那么到这里,基本可以推断, 客服是可以根据我的手机号,直接在系统里读取我的完整姓名的。 不然不可能否得那么快。那么这一步至少 信息安全是很差的

    2. 客服是否有必要知道用户实名

    而且作为一个客服,我报出手机(id 号)和订单号(车号),就足以让对方检索了,一定要确认实名的理由是什么呢?
    因为他其实已经看到了我的手机号和实名,所以不存在他输错实名进入不了系统这样的情况。也就是说,即使没有这一步,他也是可以继续提供服务的。那为什么要设计这个步骤呢?

    3. 实名的获取方式

    最后,我的疑问是,摩拜是怎么知道我真实姓名的?

    1. 通过手机号,后台通过某个方式,得到我真名。
    2. 通过快捷支付,得到我真名。

    有懂行的给说说嘛~

    第 1 条附言  ·  2018-08-22 18:52:15 +08:00
    破案了,用阿里小号又操作了一遍。是小程序注册的时候,直接通过微信快捷授权的(我当初应该是这里大意了)。
    但是可以手动输入他人的姓名和身份证号(实测成功,只需要文本,不需要照片等)。

    顺便测试了几点:
    1. 身份证本身会校验,身份证校验码不对通不过。
    2. 编造的身份证信息,地区码存在,验证码正确,会被否。
    3. 已入库的身份证,会提示已占用。
    4. 大概率真的会验证姓名和身份证是否匹配(这接口貌似有用~)
    5. 三次错误,会提示要去 app 弄。但退出再进入,就可以复用了。(猜测是页面 js 判断次数)

    那么剩下的问题就是,**是否有必要开放给客服这样的权限?会不会有安全漏洞?**

    PS:只要这个漏洞还存在,那就还是开个小号吧。不然客服根据电话号码,就能知道你的真名,还能查到你的轨迹,匿了匿了。

    相信制度和人性,不相信所谓的职业操守。
    万一哪天有某个待攻击对象,给 ta 编个故事搞个事件,客服头脑一热帮忙人肉 ta 了,这种可能性应该从系统设计上杜绝。
    20 条回复    2018-08-24 09:43:53 +08:00
    yuchuanzhen
        1
    yuchuanzhen  
       2018-08-22 18:19:12 +08:00
    摩拜不是实名认证之后才能用的吗?
    lshero
        2
    lshero  
       2018-08-22 18:27:18 +08:00
    摩拜单车不是要填写实名还有身份证号信息后之后才可以用嘛?
    核实是否为本人使用估计不想给那些账号租借的 APP 如全能车提供客服资源
    JCZ2MkKb5S8ZX9pq
        3
    JCZ2MkKb5S8ZX9pq  
    OP
       2018-08-22 18:27:25 +08:00
    @yuchuanzhen 因为平时比较注意,所以填是肯定没填过,要填我肯定就直接不用了。
    要么是小程序里,微信授权给它的?
    qiayue
        4
    qiayue  
       2018-08-22 18:31:48 +08:00
    摩拜不管是公众号还是小程序还是 APP 都需要实名认证并且缴纳 300 元押金之后才能使用
    qiayue
        5
    qiayue  
       2018-08-22 18:32:55 +08:00
    小程序里边授权身份证信息,目前微信只给 ZF 部门开发权限,普通公司是拿不到这个接口的
    yuchuanzhen
        6
    yuchuanzhen  
       2018-08-22 18:34:03 +08:00
    @JCZ2MkKb5S8ZX9pq 实名认证才能用啊。应该是你记错了。
    JCZ2MkKb5S8ZX9pq
        7
    JCZ2MkKb5S8ZX9pq  
    OP
       2018-08-22 18:52:49 +08:00
    @qiayue 押金早就不收了……
    JCZ2MkKb5S8ZX9pq
        8
    JCZ2MkKb5S8ZX9pq  
    OP
       2018-08-22 18:53:18 +08:00
    @yuchuanzhen 已破案 微信快捷授权
    fengleidongxi
        9
    fengleidongxi  
       2018-08-22 19:00:21 +08:00
    没看懂,怎么知道名字的?
    wolfie
        10
    wolfie  
       2018-08-22 21:41:38 +08:00
    发个牢骚,同小程序授权信息。

    『每日优鲜便利购』小程序。
    反映一个活动 bug,开发没复现,直接给我手机打电话。
    非常反感,差点骂人。
    loveour
        11
    loveour  
       2018-08-22 23:21:16 +08:00
    开始各种要求实名制的时候就特别反感,想要不泄露信息,只有不收集信息才行,要求实名制,就无异于让大家一起把个人信息放在网上飞。说要求公司保密,但是有蛋用?那么多地方都有信息,随便一个环节就泄露了。但是后来也想开了,反正早就不知道泄露多少次了。
    agagega
        12
    agagega  
       2018-08-22 23:44:49 +08:00
    今天还在想,银行就算了,可以理解。为啥我骑一个共享单车也要把我完整的个人身份信息交上去?
    winterbells
        13
    winterbells  
       2018-08-22 23:51:16 +08:00 via Android
    哈罗单车客服可以通过身份证号码查账户。。
    cncqw
        14
    cncqw  
       2018-08-23 08:11:56 +08:00
    各位 dalao 不看新闻还是村里刚通网?

    《中华人民共和国网络安全法》:

    第二十四条 网络运营者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。

    ……
    第七十九条 本法自 2017 年 6 月 1 日起施行
    forson
        15
    forson  
       2018-08-23 12:52:33 +08:00
    这个。。。不光是摩拜啊,好多软件都会用到实名和身份证号,有很多第三方的 API 吧应该,需要输入身份证的都会做校验匹配,所以。。。
    JCZ2MkKb5S8ZX9pq
        16
    JCZ2MkKb5S8ZX9pq  
    OP
       2018-08-23 14:57:34 +08:00
    @cncqw 这个在执行层面,大部分产品是手机号认证,间接来的吧。并没有都确切到身份证和实名吧。
    而且,各平台对应的安全防护能力并不是都那么好吧。对管理来说增加便利,对用户来说,几乎集体裸奔了。无奈啊
    JCZ2MkKb5S8ZX9pq
        17
    JCZ2MkKb5S8ZX9pq  
    OP
       2018-08-23 14:59:18 +08:00
    @agagega 上海这边交通卡 app 充值就要实名,活见鬼。app 钱包里不用,实体卡也不用,但 app 就是要收集。然后实名再配合进出站记录…… 而且地铁公司的数据安全水平……
    helionzzz
        18
    helionzzz  
       2018-08-23 15:18:47 +08:00
    全网实名制不是从去年就开始了么。。这有什么好奇怪的
    JCZ2MkKb5S8ZX9pq
        19
    JCZ2MkKb5S8ZX9pq  
    OP
       2018-08-23 19:18:53 +08:00
    @helionzzz 在 V2 我就没提交过真名和身份证啊……你填过?
    helionzzz
        20
    helionzzz  
       2018-08-24 09:43:53 +08:00
    @JCZ2MkKb5S8ZX9pq 你的手机号总不会是黑户吧 全网实名制当然不会仅仅是在单一网站上要求实名这么简单而已。一环套一环确保你跑不掉这才是全网实名制
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   932 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 21:53 · PVG 05:53 · LAX 13:53 · JFK 16:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.