方法很简单,京东找回密码,输入手机号 /邮箱 /用户名,下拉选择“修改关联手机号”,再选择“使用 关联新银行卡”,就可以在添加银行卡的页面看到对应京东用户的真实名字(*某某)和打了码的身份证号。(感谢/t/707160 #37 @Keng )
大家可以试着找回一下自己的密码就更清楚了。
刚刚担心完支付宝大概率能被人通过手机号拿到真实姓名,现在又轮到京东了,真的防不胜防,实在太恶心了。。
有京东的 V 友能帮忙反馈一下吗?不过找回一个密码,又不是转账,有必要在这里显示用户的真实名字吗?如果真的是自己在找回,也没必要显示,甚至连名字也可以做成校验项;如果不是自己在找回,自己的真实名字不就泄露给别有用心的陌生人了吗?
哪怕学支付宝和微信只显示最后一个字(**某)也好啊,显示全名真的简直了。。我在京东上实名可不是要你把我的名字随便给试图找回我密码的阿猫阿狗看的。。
希望京东能早日改进一下这里的显示,尊重和保护实名用户的隐私信息安全。
101
lzhw OP |
102
wangkun025 2020-09-16 12:52:31 +08:00
京东实名已经注销了。
|
103
babyblue 2020-09-16 12:56:09 +08:00 via Android 9
东哥你他妈的出卖兄弟,真不厚道啊
|
104
lzhw OP @Unclev21x 是的,就是很尴尬,想取消实名,就会失去 plus 会员资格,想保留 plus 会员,就不能取消实名
@datoujiejie221 唉,真的是防不胜防 @lucas4585 嗯,之前 V2 上也有相关讨论 /t/705720,现在手机号已经成了信息安全最薄弱的环节了 @lvybupt 我之前可能没有描述清楚,现在就算手机号码隔离,注册绑定账号和常用手机号分开,没有人知道我的注册手机号和注册邮箱,但是也架不住从其他网站泄露了我专门用来注册的手机号,然后通过这些姓名暴露漏洞就有被人肉和网络暴力的风险。为避免这种情况的话就得再细分使用场景了,不同类型的网站注册都得用不同的手机号。。简直是。。。😂 |
105
libook 2020-09-16 13:22:07 +08:00
可以向工信部投诉,京东有泄漏用户隐私信息的重大漏洞,工信部现在在狠抓这方面。
|
106
AmberJiang 2020-09-16 13:27:51 +08:00
我登录网页版,找回密码,输入手机号 /邮箱 /用户名,没有下拉选择“修改关联手机号”https://s1.ax1x.com/2020/09/16/wgpO9H.png
|
107
AmberJiang 2020-09-16 13:30:11 +08:00
好像最近刚好是网络安全宣传周。。。楼主
|
108
lzhw OP @libook 请问我另一个帖子里提到的“网商银行搜索支付宝手机号大概率能拿到支付宝真实姓名”的漏洞 /t/707160 也能向工信部投诉吗?
@AmberJiang 过一个图形验证然后点下一步,在新的页面往下拉找小字部分里的“修改关联手机号” |
109
HvangStormstout 2020-09-16 13:33:43 +08:00
理性讨论,
那像这种情况,应该怎么改呢,把"*小明"改成"王**"? 可全国太多人姓王了阿. |
110
Xillusion 2020-09-16 13:39:03 +08:00
@HvangStormstout 不需要,只显示最后一个字即可
|
111
chawuchiren 2020-09-16 13:48:28 +08:00
已经修复了吗?我怎么看到是*某 不是全名
|
112
lzhw OP @HvangStormstout 这只是个密码找回,又不是转账,完全都没必要显示用户名字啊。。自己找回自己的密码还能不知道自己叫什么吗。。反倒是被别有用心的陌生人看见了就麻烦了。。这里甚至可以做成让用户主动输入姓名来验证是本人。。而且就算是转账,现在支付宝和微信都只是显示姓名的最后一个字了,没道理京东就要直接显示全名啊。。
@chawuchiren 不好意思,可能描述的不够清楚,这里能看到的就是不含姓的真实名字(*某某) |
113
Joexjx 2020-09-16 14:00:27 +08:00
已经在工信部网站上投诉了
|
114
lilywang 2020-09-16 14:09:44 +08:00
没有复现呀,退出登录 => 登录界面 => 找回密码 => 然后没有看到楼主提到的添加银行卡等步骤
|
116
greatbody 2020-09-16 14:20:08 +08:00 3
支付宝能查姓,京东能查名,加起来就全了。
|
117
NeonCyberpunk 2020-09-16 14:22:08 +08:00 1
按照步骤试了一下,成功复现……
设计这个找回密码流程的人绝对要背锅 |
118
hbolive 2020-09-16 14:26:23 +08:00
就是把姓隐藏了,名字显示出来了,建议隐藏名字,显示姓吧,然后身份证显示后第 1 和最后位,这个倒没什么。。
*泽东 1***************3 |
119
lilywang 2020-09-16 14:26:53 +08:00
原来是在“帮助”里面,找到了
|
120
wzq001 2020-09-16 14:27:15 +08:00
我居然没复现,楼上老哥辛苦下提出操作步骤,,
目前,退出登录 > 登录 > 找回密码 > 身份认证 然后没有看到楼主提到的添加银行卡等步骤 |
121
libook 2020-09-16 14:27:55 +08:00
@lzhw 看潜在影响吧,比如这个接口可以被用来自动化获取大量手机号的机主姓名,那就涉嫌泄露用户隐私信息,因为爬这个数据的人极大概率没有出现在这个平台的用户协议里,既然不算平台主动分享数据,就只能是泄露了。我自己没有举报过,但我知道现在数安法正在立法流程,通信部也在大力清查侵犯用户隐私权的行为,这种要是找官方客服投诉无果,走工信部投诉流程可能会有用。
|
124
ApolloMa 2020-09-16 14:33:22 +08:00 2
反馈给 JD 的朋友了。
|
125
1979827981 2020-09-16 14:36:10 +08:00
我前几天接到一个诈骗电话,对方能明确知道我的姓名以及毕业学校,说我的白条认证有问题,然后被我识破,就破口大骂,我问他京东客服人员就这个素质吗?他不吭声,我又问他工号,他也不说,最后,po 一下诈骗号码,是河北石家庄的号码 15733118205,希望大家不要上当受骗!
|
126
slamDunkLINk 2020-09-16 14:39:10 +08:00
我刚取消实名,反正也咩有 PLUS,取消操作,我的>设置>账户与安全>实名认证(页面最下面点我的客服)>在详情页找取消实名,根据提示就可以直接取消
|
127
S9Yh4wIFsBG7jnE4 2020-09-16 14:42:24 +08:00
@slamDunkLINk 这有 plus 的咋办 经常还是要在京东买东西 很头疼呢
|
128
wzq001 2020-09-16 14:44:09 +08:00
|
129
slamDunkLINk 2020-09-16 14:47:33 +08:00
@shayang888 楼上说已经有反馈给 JD 的了,只能等 JD 出实施措施了,竟然开了,也只能用了
|
130
lzhw OP |
131
yyhuaisha 2020-09-16 14:48:41 +08:00
真实,我试了一下真的查出来了。类似下面格式
*强东 1*******************2 |
133
lzhw OP @slamDunkLINk 就算不要 plus 会员强制要取消,京东也不会给退 plus 费🤮
@hbolive 只显示姓也不妥啊😂可以看我另一个帖子提到的“网商银行搜索支付宝手机号大概率能拿到支付宝真实姓名”的漏洞 /t/707160,网商银行那边直接能通过手机号拿到真实名字(也可以通过校验功能尝试撞出姓),如果京东这边通过手机号拿到了姓,不需要尝试就能成功 get 全部姓名。。 |
136
hymzhek 2020-09-16 14:53:38 +08:00
2020916 14:50 复现
|
137
wzq001 2020-09-16 14:54:11 +08:00 1
支付宝+京东,真的是可以全名了
|
139
slamDunkLINk 2020-09-16 15:02:20 +08:00 2
@wzq001 真是骚操作,支付宝+JD
|
140
shenlanAZ 2020-09-16 15:02:24 +08:00
感谢 已了解风险.
|
141
zsdroid 2020-09-16 15:02:33 +08:00
火车票还能看到身份证号呢。生日打码=不打码。
|
142
lzhw OP @1979827981 唉,现在真的是防不胜防🤮
|
143
ashCloud 2020-09-16 15:19:42 +08:00
京东金融天天打骚扰电话,快烦死了。
|
144
AmberJiang 2020-09-16 15:35:13 +08:00
@lzhw 谢谢大佬 找到了这个漏洞。。。果真。。。取消了实名
|
145
ARhen 2020-09-16 15:36:55 +08:00
一部分网站显示 姓 xx,一部分显示 x 名字 合起来...
|
146
460881773 2020-09-16 15:43:03 +08:00
所以怎么取消实名
|
147
eth 2020-09-16 15:45:54 +08:00
打了码的。。
|
148
lzhw OP @460881773 APP 里显示实名认证的地方-(页面最下方)我的客服-取消实名-根据提示操作
还会弹出温馨提示:若您开通了 PLUS 会员,请在取消实名后的 3 个工作日内重新实名,否则 PLUS 会员会自动关闭。若您开通了白条闪付,取消实名需注销白条闪付,且白条闪付注销后无法恢复。实名认证取消完成后,会导致您账户内的钢镚余额直接按过期处理,无法再使用。 如果你开了 plus 会员就会很尴尬,想取消实名,就会失去 plus 会员资格,想保留 plus 会员,就不能取消实名🤮 |
149
tyzrj766 2020-09-16 15:57:57 +08:00
京东的信息早就被人卖了
注册了白条,后来接电话要注销什么校园贷,名字和以前的学校都说的很清楚,怎么知道的,信息早就被卖了。 |
150
lzhw OP @NeonCyberpunk
@yyhuaisha @hymzhek @AmberJiang 谢谢一起测试和反馈,京东的这个通过添加银行卡来找回密码的机制应该对所有已实名用户都适用,也就是实名用户们全都中招躺枪😭 |
151
keelii 2020-09-16 16:02:00 +08:00 3
已反馈内部团队,预计今晚上线修复~
|
154
lshero 2020-09-16 16:21:13 +08:00
最早一批的社工库就有京东的功劳
因为其他都泄露的是我信报里的资料 里面有一条却是京东里的用户名 |
156
Patrick95 2020-09-16 17:23:26 +08:00
感谢提醒。
PS:其实有一点麻木了,毕竟社工库已经能通过手机号查到更完整的隐私信息了。。真的堪忧 |
157
lzl2000 2020-09-16 17:25:08 +08:00
已注销,谢谢楼主
|
158
lzhw OP @Patrick95 我觉得还是不要直接弃疗啊,能争取一点算一点吧,所谓的有一分热,发一分光,如果什么都不做,那才是最绝望的啊😭
不管怎么说,支付宝和京东的两个漏洞如果都能得到解决,那么世界上的漏洞不就少了两个吗 |
160
cloudzhou 2020-09-16 18:22:06 +08:00 3
确实复现了,这个设计,不是傻子么,难道自己找回密码还能不知道自己
如果确实怕混淆名字,哪怕保留最后一位名字也不好,最好,就是如下 **[dong] 最后一位拼音 |
161
tomari 2020-09-16 18:28:17 +08:00
@1979827981 你可以反向操作一波,这个帖子不是能用手机号查到他的名字和身份证吗?再用支付宝查一下他的姓,这样他的资料你也知道了哈哈哈
|
163
echoe 2020-09-16 19:13:36 +08:00
估计今天修复了,这会儿按照 LZ 说的操作中间显示的是*
|
164
viWww0vvxmolvY5p 2020-09-16 19:15:44 +08:00
防不胜防,就无所谓了。
|
165
ruixue 2020-09-16 19:35:46 +08:00 1
@keelii 试了下现在貌似已经改成只显示姓名的最后一个字了,谢谢
不过我想问下这块就不能进一步优化了吗?直接取消姓名的显示可以吗。。就像楼主说的,毕竟只是个找回密码功能,没必要像转账那样怕转错账所以显示姓名最后一个字做校验啊,自己找回自己的密码还能不知道自己的名字吗,显示最后一个字做个校验是怕找回错账号吗?太可笑了吧。。退一万步来讲,即使真的是怕用户弄错账号,先让用户自己输入一下自己姓名的最后一个字,额外做一次验证,验证是本人在找回,再跳转到添加银行卡的页面,难道不好吗? 毕竟对于两个字名字的用户来说,这改了也相当于没改,还是会显示自己的“全名”😂 |
167
Unclev21x 2020-09-16 19:48:07 +08:00 via iPhone
最新进展:19.34 分,问题已经修复。
|
168
lzhw OP |
170
asvencoop 2020-09-16 21:20:57 +08:00 via Android
今天接到一个点击,直接说出了我的京东账号和学校姓名
|
171
ApolloMa 2020-09-16 21:57:21 +08:00
今天 19:58 收到 JD 技术朋友的反馈,已经修复了。
|
172
lzhw OP @ApolloMa 谢谢,现在已经只显示姓名的最后一个字了
恕我冒昧,请你看下#160 和#165 的帖子,考虑到单字名的用户,能否帮忙问一下这块还能进一步优化吗?最好取消姓名显示,毕竟这只是个密码找回功能嘛。。如果确实怕用户混淆,请用户自己输入姓名最后一个字做验证或把最后一个字改成拼音显示也好啊。。 谢谢! |
173
ApolloMa 2020-09-16 22:36:07 +08:00
@lzhw #172 他们团队会看到这个问题的。
不过从一个亿级产品的角度来讲,使用非本人身份或手机号码信息的比例虽不高但绝对值不低,需要提示姓名的情况也并非罕见。基于前述情况,没有提示而要求用户验证就是不可取的。支付宝转账时也是出现姓名最后一位,而不是没有提示就让用户输入验证,一是隐私和方便或者可用性要做取舍,二是不同用户群的不同甚至相反的需求要做取舍。 |
174
lzhw OP @ApolloMa 谢谢!
不过我有个疑问,京东其他找回密码的方式都不会提示姓名啊,反而是要求输入收货人姓名或者身份 ID 作为手机号之外的一个额外验证。。而且这毕竟是找回自己账号的密码,而不是转账给他人防止转错人,为什么会怕搞错了人呢。。如果用户找回的就是非自己实名的账号,那也应该是用户自己承担搞错账号的风险吧。。 还有个问题能否也帮忙反馈一下,即使确实需要在添加银行卡的页面提示姓名的最后一个字,那么在进入该页面之前能否像其他找回密码的方式一样,再设置一个前置验证,比如收货人姓名或者身份 ID,通过了再进入?能让陌生人无需提供其他任何信息就能直接进入添加某个用户的银行卡这个页面,说实话我到现在还有点想不通😭 |
175
fbi007130 2020-09-16 23:16:06 +08:00 3
从显示两个字到显示一个字,算已经修复?条毛?
|
176
ericwood067 2020-09-16 23:53:22 +08:00
@wangkun025 大佬,注销入口在哪里?我在京东 APP 里没找到注销的地方。
|
177
wangkun025 2020-09-17 01:23:03 +08:00
@ericwood067 我用网页的。找了人工服务,后来他们打电话给我,提供了名字和身份证还有支付密码,就取消了。
|
178
AaronTwan 2020-09-17 08:39:46 +08:00
曾经被广告推广,知道我的名字最后一个字,问了他们,说是通过支付宝拿到的
|
179
ruixue 2020-09-17 09:08:29 +08:00 1
@AaronTwan 建议关闭支付宝的“通过手机号找到我”隐私开关,这样陌生人就不能直接通过手机号搜到你支付宝看到你名字最后一个字了,不过现在推销的还是能从京东这边拿到,我们正在等待京东进一步的优化和解决~
|
180
lework1234 2020-09-17 09:51:40 +08:00 3
这找回密码为啥要显示呢,不能要求输入姓名和卡号么?为了体验不能牺牲安全啊
|
181
ruixue 2020-09-17 10:01:08 +08:00 1
@fbi007130 我也觉得。即使显示一个字,那也是我真实姓名的一部分,对于单字名的用户更是“全名”了。在我没有义务向他人展示我姓名的一部分以辅助验证身份(比如接收转账)时,京东有什么理由把我姓名的一部分暴露出去,公开给全世界任何一个人查看呢?
即使是转账场景:微信转账显示姓名的一个字,但微信是默认关闭手机号转账的,陌生人不能通过搜手机号直接给我转账从而看到我姓名的一个字;支付宝转账也显示姓名的一个字,但支付宝也提供了关闭手机号 /邮箱搜索的功能,这样陌生人也不能通过搜手机号 /邮箱直接给我转账从而看到我姓名的一个字;而京东的这个“密码找回”可没有开关供我们用户关闭,任何人都能搜手机号 /邮箱 /用户名看到我姓名的一个字。。单字名用户更是情何以堪。。 一个字那也是我真实姓名中的一个字,我不希望被别有用心的陌生人看到哪怕一个字就不应该被他看到哪怕一个字。所以我认为这个暴露实名信息的漏洞并没有彻底得到修复,这个密码找回的流程还是存在问题的。我想很多人应该和我一样也是这么认为的 @MrStark @cloudzhou @NeonCyberpunk 非常感谢你们的努力,但还是想请求你们再帮忙反馈一下,进一步优化页面或优化流程以彻底修复这个问题:取消姓名显示,或者在添加银行卡页面之前再设一道验证门槛以阻止陌生人的访问。谢谢! @keelii @Unclev21x @ApolloMa |
182
qiaogaohhb 2020-09-17 10:48:38 +08:00 2
这也叫修复?
|
183
juanxincai 2020-09-17 11:04:29 +08:00
@1979827981 我收到过很多次了,一次是京东金融,一次是其他家的,没听清楚,大都是一个套路
|
184
Jumenglo 2020-09-17 11:08:07 +08:00
需要改为一个字了比之前好了点
|
185
lzhw OP @fbi007130
@ruixue @lework1234 @qiaogaohhb @Jumenglo 请恕我考虑不周,在第三条附言里面用了“已基本修复”的描述,虽然后面也呼吁京东进一步改进,但之前确实没有认识到问题的严重性。现在看到了大家的回复,深深明白显示姓名的一个字给陌生人看也是极不妥当的,确实不应该认为问题“已基本修复”了,只能说“比之前好了点”,抱歉😭 再次冒昧 at 请原谅,还是希望你们能帮忙反馈一下,做到一个字也不要显示给陌生人看,真正修复此问题。谢谢! @ApolloMa @Unclev21x @keelii |
186
fbi007130 2020-09-17 11:30:47 +08:00
京东无耻
想取消实名,要先关闭小金库 关闭小金库,要先清空小金库余额 于是我就立即将那几块钱转出,转出成功后,申请关闭小金库 小金库提示要明天下午 3 点才能关闭,此就是无耻之处! 京东任由信息泄漏并且不能立即立即堵截信息泄漏的漏洞 同时对于小金库这种东西完全结清还不能立即关闭 任由信息泄漏超过 1 天以上 |
188
AmberJiang 2020-09-17 12:25:33 +08:00
@lzhw 应该是我们谢谢楼主提醒👍
|
189
menghan 2020-09-17 13:02:01 +08:00
提供一个国外的情况,坐标新加坡
新加坡有个支持手机号转账的办法,各大主流银行 app 内置支持 (uob, ocbc, dbs, ...) ,叫 PayNow 在 PayNow 中,输入手机号和金额,就可以看到接收人的全名,英文,此时还没有发生转账。 供参考。 |
190
lzhw OP |
191
lzhw OP |
192
ruixue 2020-09-17 14:53:32 +08:00
|
195
simy 2020-09-17 16:56:05 +08:00 via iPhone
之前看到这个帖子不以为意,直到刚才接到一个诈骗电话,自称京东客服,哈哈哈,有点意思
|
197
caaat 2020-09-17 18:02:39 +08:00
@wangkun025 注销是没用的,只是账号不能用了,数据还在库里,账号还是能搜到
|
199
paradoxs 2020-09-17 18:07:44 +08:00 1
[正确的解决方法] :显示任何敏感信息(包括 1 个字)前,校验手机短信验证码。
如果连手机号都忘了,直接走手持身份证人工审核的通道。 完美解决。 |
200
wangkun025 2020-09-17 18:08:00 +08:00 2
@caaat 一步步来吧。让京东知道,我们在做点事情了。
|