V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lzhw
V2EX  ›  信息安全

京东已实名用户注意了,现在任何人都能通过你京东的手机号/邮箱/用户名查到你(姓以外)的实名信息

  lzhw · 2020-09-15 20:13:13 +08:00 · 35564 次点击
这是一个创建于 1531 天前的主题,其中的信息可能已经有所发展或是发生改变。

方法很简单,京东找回密码,输入手机号 /邮箱 /用户名,下拉选择“修改关联手机号”,再选择“使用 关联新银行卡”,就可以在添加银行卡的页面看到对应京东用户的真实名字(*某某)和打了码的身份证号。(感谢/t/707160 #37 @Keng )

大家可以试着找回一下自己的密码就更清楚了。

刚刚担心完支付宝大概率能被人通过手机号拿到真实姓名,现在又轮到京东了,真的防不胜防,实在太恶心了。。

有京东的 V 友能帮忙反馈一下吗?不过找回一个密码,又不是转账,有必要在这里显示用户的真实名字吗?如果真的是自己在找回,也没必要显示,甚至连名字也可以做成校验项;如果不是自己在找回,自己的真实名字不就泄露给别有用心的陌生人了吗?

哪怕学支付宝和微信只显示最后一个字(**某)也好啊,显示全名真的简直了。。我在京东上实名可不是要你把我的名字随便给试图找回我密码的阿猫阿狗看的。。

希望京东能早日改进一下这里的显示,尊重和保护实名用户的隐私信息安全。

第 1 条附言  ·  2020-09-15 21:38:16 +08:00
即使现在信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望京东能重视并解决这个问题~
第 2 条附言  ·  2020-09-16 00:48:54 +08:00
除了手机号这层泄露之外,好多用户的常用邮箱就是他的 QQ 数字邮箱,如果绑定在京东实名账号上的话,陌生人只要知道他的 QQ 号,就可以在找回密码那里输入“QQ 号 @qq.com”查到他的真实名字。而且即使不是用的 QQ 数字邮箱,常用邮箱注册了很多网站的话,其他网站泄露了邮箱地址,同样可以查到他的真实名字,所以邮箱这里的风险也不小

建议大家能解绑的话先尽量解绑一下京东的邮箱,至少能减少一层被查询和泄露的渠道,也算是尽自己所能去降低风险了😭
第 3 条附言  ·  2020-09-16 20:18:00 +08:00
2020-09-16 晚 8 点更新:现在问题已基本修复,通过帖子中的方法只能看到真实姓名的最后一个字了,谢谢帮忙反馈的各位,谢谢!

不过恕我之前考虑不周,如果考虑到单字名用户依旧会暴露“全名”的尴尬,其实还是希望京东能彻底取消姓名的显示的,毕竟这只是个密码找回功能嘛。。如果确实怕用户混淆,请用户自己输入姓名最后一个字做验证(参考#165)或把最后一个字改成拼音显示(参考#160)也好。。

抱歉有点贪心了:请问京东日后能否进一步优化一下?

无论如何,再次感谢所有关注和支持此问题的 V 友们
第 4 条附言  ·  2020-09-20 19:12:27 +08:00
请恕我考虑不周,在第三条附言里面用了“已基本修复”的描述,虽然后面也呼吁京东进一步改进,但之前确实没有认识到问题的严重性。现在看到了大家的回复,深深明白显示姓名的一个字给陌生人看也是极不妥当的,确实不应该认为问题“已基本修复”了,只能说“比之前好了点”,抱歉😭

衷心希望京东能继续改进,做到一个字也不要显示给陌生人看,真正修复此问题。谢谢!

贴一段 V 友的总结(感谢 @ruixue ),恳请京东的同学能来看看:

1. 对于单字名用户来说,显示一个字就等于显示“全名”了啊,这改了相当于没改,真是情何以堪

2. 虽然支付宝微信转账会显示姓名的最后一个字,但支付宝微信也提供了手机查找开关,可以让用户关闭,阻止陌生人通过手机号搜索到自己,看到自己的姓名信息。而京东这个没有关闭选项,全世界的人都能用手机号邮箱用户名搜索到自己看到自己的姓名信息

3. 即使是姓名最后一个字,但实名了就能被查到,不实名就不会被查到,还是让实名用户有种被歧视不受尊重之感

4. 找回密码这个功能本身就没有显示姓名敏感信息的必要,那么原则上就不应该显示(data minimization)。正如 @lework1234 说的,“这找回密码为啥要显示呢,不能要求输入姓名和卡号么?为了体验不能牺牲安全啊”
真的要显示也请在添加银行卡页面之前再设一道验证门槛以阻止陌生人的访问,因为:

5. 我们在京东实名,可没有授权京东向全社会披露我们姓名的最后一个字啊
232 条回复    2020-10-01 00:24:13 +08:00
1  2  3  
lzhw
    101
lzhw  
OP
   2020-09-16 12:32:07 +08:00
@SenLief 能做一点算一点吧,所谓的有一分热,发一分光,如果什么都不做,那才是最绝望的啊😭

不管怎么说,支付宝和京东的两个漏洞如果都能得到解决,那么世界上的漏洞不就少了两个吗
wangkun025
    102
wangkun025  
   2020-09-16 12:52:31 +08:00
京东实名已经注销了。
babyblue
    103
babyblue  
   2020-09-16 12:56:09 +08:00 via Android   ❤️ 9
东哥你他妈的出卖兄弟,真不厚道啊
lzhw
    104
lzhw  
OP
   2020-09-16 13:13:33 +08:00
@Unclev21x 是的,就是很尴尬,想取消实名,就会失去 plus 会员资格,想保留 plus 会员,就不能取消实名

@datoujiejie221 唉,真的是防不胜防

@lucas4585 嗯,之前 V2 上也有相关讨论 /t/705720,现在手机号已经成了信息安全最薄弱的环节了

@lvybupt 我之前可能没有描述清楚,现在就算手机号码隔离,注册绑定账号和常用手机号分开,没有人知道我的注册手机号和注册邮箱,但是也架不住从其他网站泄露了我专门用来注册的手机号,然后通过这些姓名暴露漏洞就有被人肉和网络暴力的风险。为避免这种情况的话就得再细分使用场景了,不同类型的网站注册都得用不同的手机号。。简直是。。。😂
libook
    105
libook  
   2020-09-16 13:22:07 +08:00
可以向工信部投诉,京东有泄漏用户隐私信息的重大漏洞,工信部现在在狠抓这方面。
AmberJiang
    106
AmberJiang  
   2020-09-16 13:27:51 +08:00
我登录网页版,找回密码,输入手机号 /邮箱 /用户名,没有下拉选择“修改关联手机号”https://s1.ax1x.com/2020/09/16/wgpO9H.png
AmberJiang
    107
AmberJiang  
   2020-09-16 13:30:11 +08:00
好像最近刚好是网络安全宣传周。。。楼主
lzhw
    108
lzhw  
OP
   2020-09-16 13:30:33 +08:00
@libook 请问我另一个帖子里提到的“网商银行搜索支付宝手机号大概率能拿到支付宝真实姓名”的漏洞 /t/707160 也能向工信部投诉吗?

@AmberJiang 过一个图形验证然后点下一步,在新的页面往下拉找小字部分里的“修改关联手机号”
HvangStormstout
    109
HvangStormstout  
   2020-09-16 13:33:43 +08:00
理性讨论,
那像这种情况,应该怎么改呢,把"*小明"改成"王**"?
可全国太多人姓王了阿.
Xillusion
    110
Xillusion  
   2020-09-16 13:39:03 +08:00
@HvangStormstout 不需要,只显示最后一个字即可
chawuchiren
    111
chawuchiren  
   2020-09-16 13:48:28 +08:00
已经修复了吗?我怎么看到是*某 不是全名
lzhw
    112
lzhw  
OP
   2020-09-16 13:54:49 +08:00   ❤️ 1
@HvangStormstout 这只是个密码找回,又不是转账,完全都没必要显示用户名字啊。。自己找回自己的密码还能不知道自己叫什么吗。。反倒是被别有用心的陌生人看见了就麻烦了。。这里甚至可以做成让用户主动输入姓名来验证是本人。。而且就算是转账,现在支付宝和微信都只是显示姓名的最后一个字了,没道理京东就要直接显示全名啊。。

@chawuchiren 不好意思,可能描述的不够清楚,这里能看到的就是不含姓的真实名字(*某某)
Joexjx
    113
Joexjx  
   2020-09-16 14:00:27 +08:00
已经在工信部网站上投诉了
lilywang
    114
lilywang  
   2020-09-16 14:09:44 +08:00
没有复现呀,退出登录 => 登录界面 => 找回密码 => 然后没有看到楼主提到的添加银行卡等步骤
lzhw
    115
lzhw  
OP
   2020-09-16 14:11:46 +08:00
@lilywang 往下拉找小字部分里的“修改关联手机号”,点进去就能看到“使用 关联新银行卡”的选项了
greatbody
    116
greatbody  
   2020-09-16 14:20:08 +08:00   ❤️ 3
支付宝能查姓,京东能查名,加起来就全了。
NeonCyberpunk
    117
NeonCyberpunk  
   2020-09-16 14:22:08 +08:00   ❤️ 1
按照步骤试了一下,成功复现……
设计这个找回密码流程的人绝对要背锅
hbolive
    118
hbolive  
   2020-09-16 14:26:23 +08:00
就是把姓隐藏了,名字显示出来了,建议隐藏名字,显示姓吧,然后身份证显示后第 1 和最后位,这个倒没什么。。
*泽东
1***************3
lilywang
    119
lilywang  
   2020-09-16 14:26:53 +08:00
原来是在“帮助”里面,找到了
wzq001
    120
wzq001  
   2020-09-16 14:27:15 +08:00
我居然没复现,楼上老哥辛苦下提出操作步骤,,

目前,退出登录 > 登录 > 找回密码 > 身份认证 然后没有看到楼主提到的添加银行卡等步骤
libook
    121
libook  
   2020-09-16 14:27:55 +08:00
@lzhw 看潜在影响吧,比如这个接口可以被用来自动化获取大量手机号的机主姓名,那就涉嫌泄露用户隐私信息,因为爬这个数据的人极大概率没有出现在这个平台的用户协议里,既然不算平台主动分享数据,就只能是泄露了。我自己没有举报过,但我知道现在数安法正在立法流程,通信部也在大力清查侵犯用户隐私权的行为,这种要是找官方客服投诉无果,走工信部投诉流程可能会有用。
lzhw
    122
lzhw  
OP
   2020-09-16 14:28:26 +08:00
@wzq001 往下拉找小字部分里的“修改关联手机号”,点进去就能看到“使用 关联新银行卡”的选项了
lzhw
    123
lzhw  
OP
   2020-09-16 14:31:52 +08:00
@libook 谢谢,明白了
ApolloMa
    124
ApolloMa  
   2020-09-16 14:33:22 +08:00   ❤️ 2
反馈给 JD 的朋友了。
1979827981
    125
1979827981  
   2020-09-16 14:36:10 +08:00
我前几天接到一个诈骗电话,对方能明确知道我的姓名以及毕业学校,说我的白条认证有问题,然后被我识破,就破口大骂,我问他京东客服人员就这个素质吗?他不吭声,我又问他工号,他也不说,最后,po 一下诈骗号码,是河北石家庄的号码 15733118205,希望大家不要上当受骗!
slamDunkLINk
    126
slamDunkLINk  
   2020-09-16 14:39:10 +08:00
我刚取消实名,反正也咩有 PLUS,取消操作,我的>设置>账户与安全>实名认证(页面最下面点我的客服)>在详情页找取消实名,根据提示就可以直接取消
S9Yh4wIFsBG7jnE4
    127
S9Yh4wIFsBG7jnE4  
   2020-09-16 14:42:24 +08:00
@slamDunkLINk 这有 plus 的咋办 经常还是要在京东买东西 很头疼呢
slamDunkLINk
    129
slamDunkLINk  
   2020-09-16 14:47:33 +08:00
@shayang888 楼上说已经有反馈给 JD 的了,只能等 JD 出实施措施了,竟然开了,也只能用了
lzhw
    130
lzhw  
OP
   2020-09-16 14:48:19 +08:00
@wzq001 这个是在电脑网页上进行密码找回操作的

@shayang888 是的,就是很尴尬,想取消实名,就会失去 plus 会员资格,想保留 plus 会员,就不能取消实名
yyhuaisha
    131
yyhuaisha  
   2020-09-16 14:48:41 +08:00
真实,我试了一下真的查出来了。类似下面格式
*强东
1*******************2
wzq001
    132
wzq001  
   2020-09-16 14:50:02 +08:00
@lzhw soga,一直在手机上测。。。
lzhw
    133
lzhw  
OP
   2020-09-16 14:52:00 +08:00
@slamDunkLINk 就算不要 plus 会员强制要取消,京东也不会给退 plus 费🤮

@hbolive 只显示姓也不妥啊😂可以看我另一个帖子提到的“网商银行搜索支付宝手机号大概率能拿到支付宝真实姓名”的漏洞 /t/707160,网商银行那边直接能通过手机号拿到真实名字(也可以通过校验功能尝试撞出姓),如果京东这边通过手机号拿到了姓,不需要尝试就能成功 get 全部姓名。。
wzq001
    134
wzq001  
   2020-09-16 14:53:04 +08:00
@lzhw 已复现,希望赶紧解决,太狠了这也
lzhw
    135
lzhw  
OP
   2020-09-16 14:53:25 +08:00
@wzq001 嗯啊,回头有条件可以用电脑试一下,显示效果就和你楼上说的差不多😂
hymzhek
    136
hymzhek  
   2020-09-16 14:53:38 +08:00
2020916 14:50 复现
wzq001
    137
wzq001  
   2020-09-16 14:54:11 +08:00   ❤️ 1
支付宝+京东,真的是可以全名了
lzhw
    138
lzhw  
OP
   2020-09-16 14:54:52 +08:00
@wzq001 是的啊
slamDunkLINk
    139
slamDunkLINk  
   2020-09-16 15:02:20 +08:00   ❤️ 2
@wzq001 真是骚操作,支付宝+JD
shenlanAZ
    140
shenlanAZ  
   2020-09-16 15:02:24 +08:00
感谢 已了解风险.
zsdroid
    141
zsdroid  
   2020-09-16 15:02:33 +08:00
火车票还能看到身份证号呢。生日打码=不打码。
lzhw
    142
lzhw  
OP
   2020-09-16 15:18:46 +08:00
@1979827981 唉,现在真的是防不胜防🤮
ashCloud
    143
ashCloud  
   2020-09-16 15:19:42 +08:00
京东金融天天打骚扰电话,快烦死了。
AmberJiang
    144
AmberJiang  
   2020-09-16 15:35:13 +08:00
@lzhw 谢谢大佬 找到了这个漏洞。。。果真。。。取消了实名
ARhen
    145
ARhen  
   2020-09-16 15:36:55 +08:00
一部分网站显示 姓 xx,一部分显示 x 名字 合起来...
460881773
    146
460881773  
   2020-09-16 15:43:03 +08:00
所以怎么取消实名
eth
    147
eth  
   2020-09-16 15:45:54 +08:00
打了码的。。
lzhw
    148
lzhw  
OP
   2020-09-16 15:50:34 +08:00   ❤️ 1
@460881773 APP 里显示实名认证的地方-(页面最下方)我的客服-取消实名-根据提示操作

还会弹出温馨提示:若您开通了 PLUS 会员,请在取消实名后的 3 个工作日内重新实名,否则 PLUS 会员会自动关闭。若您开通了白条闪付,取消实名需注销白条闪付,且白条闪付注销后无法恢复。实名认证取消完成后,会导致您账户内的钢镚余额直接按过期处理,无法再使用。

如果你开了 plus 会员就会很尴尬,想取消实名,就会失去 plus 会员资格,想保留 plus 会员,就不能取消实名🤮
tyzrj766
    149
tyzrj766  
   2020-09-16 15:57:57 +08:00
京东的信息早就被人卖了
注册了白条,后来接电话要注销什么校园贷,名字和以前的学校都说的很清楚,怎么知道的,信息早就被卖了。
lzhw
    150
lzhw  
OP
   2020-09-16 16:01:56 +08:00
@NeonCyberpunk
@yyhuaisha
@hymzhek
@AmberJiang
谢谢一起测试和反馈,京东的这个通过添加银行卡来找回密码的机制应该对所有已实名用户都适用,也就是实名用户们全都中招躺枪😭
keelii
    151
keelii  
   2020-09-16 16:02:00 +08:00   ❤️ 3
已反馈内部团队,预计今晚上线修复~
lzhw
    152
lzhw  
OP
   2020-09-16 16:12:38 +08:00
@keelii 谢谢!
wzq001
    153
wzq001  
   2020-09-16 16:19:50 +08:00
@keelii 向大佬致敬
lshero
    154
lshero  
   2020-09-16 16:21:13 +08:00
最早一批的社工库就有京东的功劳
因为其他都泄露的是我信报里的资料
里面有一条却是京东里的用户名
lzhw
    155
lzhw  
OP
   2020-09-16 16:52:46 +08:00
@tyzrj766
@lshero
唉,心太累了,现在真的是防不胜防🤮
Patrick95
    156
Patrick95  
   2020-09-16 17:23:26 +08:00
感谢提醒。

PS:其实有一点麻木了,毕竟社工库已经能通过手机号查到更完整的隐私信息了。。真的堪忧
lzl2000
    157
lzl2000  
   2020-09-16 17:25:08 +08:00
已注销,谢谢楼主
lzhw
    158
lzhw  
OP
   2020-09-16 17:31:17 +08:00   ❤️ 1
@Patrick95 我觉得还是不要直接弃疗啊,能争取一点算一点吧,所谓的有一分热,发一分光,如果什么都不做,那才是最绝望的啊😭

不管怎么说,支付宝和京东的两个漏洞如果都能得到解决,那么世界上的漏洞不就少了两个吗
MrStark
    159
MrStark  
   2020-09-16 18:08:14 +08:00   ❤️ 1
@keelii #151

记得让领导吊一顿当初设计这个功能那个沙雕产品。
cloudzhou
    160
cloudzhou  
   2020-09-16 18:22:06 +08:00   ❤️ 3
确实复现了,这个设计,不是傻子么,难道自己找回密码还能不知道自己
如果确实怕混淆名字,哪怕保留最后一位名字也不好,最好,就是如下
**[dong] 最后一位拼音
tomari
    161
tomari  
   2020-09-16 18:28:17 +08:00
@1979827981 你可以反向操作一波,这个帖子不是能用手机号查到他的名字和身份证吗?再用支付宝查一下他的姓,这样他的资料你也知道了哈哈哈
tomari
    162
tomari  
   2020-09-16 18:28:44 +08:00
@keelii 牛批
echoe
    163
echoe  
   2020-09-16 19:13:36 +08:00
估计今天修复了,这会儿按照 LZ 说的操作中间显示的是*
viWww0vvxmolvY5p
    164
viWww0vvxmolvY5p  
   2020-09-16 19:15:44 +08:00
防不胜防,就无所谓了。
ruixue
    165
ruixue  
   2020-09-16 19:35:46 +08:00   ❤️ 1
@keelii 试了下现在貌似已经改成只显示姓名的最后一个字了,谢谢

不过我想问下这块就不能进一步优化了吗?直接取消姓名的显示可以吗。。就像楼主说的,毕竟只是个找回密码功能,没必要像转账那样怕转错账所以显示姓名最后一个字做校验啊,自己找回自己的密码还能不知道自己的名字吗,显示最后一个字做个校验是怕找回错账号吗?太可笑了吧。。退一万步来讲,即使真的是怕用户弄错账号,先让用户自己输入一下自己姓名的最后一个字,额外做一次验证,验证是本人在找回,再跳转到添加银行卡的页面,难道不好吗?

毕竟对于两个字名字的用户来说,这改了也相当于没改,还是会显示自己的“全名”😂
ruixue
    166
ruixue  
   2020-09-16 19:40:55 +08:00
@keelii 抱歉,口误,上帖最后一段是说“两个字姓名的用户”,也就是“单字名的用户”
Unclev21x
    167
Unclev21x  
   2020-09-16 19:48:07 +08:00 via iPhone
最新进展:19.34 分,问题已经修复。
lzhw
    168
lzhw  
OP
   2020-09-16 20:01:03 +08:00   ❤️ 2
@Unclev21x
@keelii

谢谢,谢谢!

试了下现在已经只显示姓名的最后一个字了,这速度够快的!

不过能否看下#160 和#165 的帖子,考虑到单字名的用户,也想冒昧问一下这块还能进一步优化吗?比如取消姓名显示或者最后那个字弄成拼音代替

谢谢!
cnleo
    169
cnleo  
   2020-09-16 21:09:05 +08:00
@lzhw 找到啦,在电脑端,谢啦
asvencoop
    170
asvencoop  
   2020-09-16 21:20:57 +08:00 via Android
今天接到一个点击,直接说出了我的京东账号和学校姓名
ApolloMa
    171
ApolloMa  
   2020-09-16 21:57:21 +08:00
今天 19:58 收到 JD 技术朋友的反馈,已经修复了。
lzhw
    172
lzhw  
OP
   2020-09-16 22:08:03 +08:00   ❤️ 1
@ApolloMa 谢谢,现在已经只显示姓名的最后一个字了

恕我冒昧,请你看下#160 和#165 的帖子,考虑到单字名的用户,能否帮忙问一下这块还能进一步优化吗?最好取消姓名显示,毕竟这只是个密码找回功能嘛。。如果确实怕用户混淆,请用户自己输入姓名最后一个字做验证或把最后一个字改成拼音显示也好啊。。

谢谢!
ApolloMa
    173
ApolloMa  
   2020-09-16 22:36:07 +08:00
@lzhw #172 他们团队会看到这个问题的。

不过从一个亿级产品的角度来讲,使用非本人身份或手机号码信息的比例虽不高但绝对值不低,需要提示姓名的情况也并非罕见。基于前述情况,没有提示而要求用户验证就是不可取的。支付宝转账时也是出现姓名最后一位,而不是没有提示就让用户输入验证,一是隐私和方便或者可用性要做取舍,二是不同用户群的不同甚至相反的需求要做取舍。
lzhw
    174
lzhw  
OP
   2020-09-16 22:54:52 +08:00   ❤️ 1
@ApolloMa 谢谢!

不过我有个疑问,京东其他找回密码的方式都不会提示姓名啊,反而是要求输入收货人姓名或者身份 ID 作为手机号之外的一个额外验证。。而且这毕竟是找回自己账号的密码,而不是转账给他人防止转错人,为什么会怕搞错了人呢。。如果用户找回的就是非自己实名的账号,那也应该是用户自己承担搞错账号的风险吧。。

还有个问题能否也帮忙反馈一下,即使确实需要在添加银行卡的页面提示姓名的最后一个字,那么在进入该页面之前能否像其他找回密码的方式一样,再设置一个前置验证,比如收货人姓名或者身份 ID,通过了再进入?能让陌生人无需提供其他任何信息就能直接进入添加某个用户的银行卡这个页面,说实话我到现在还有点想不通😭
fbi007130
    175
fbi007130  
   2020-09-16 23:16:06 +08:00   ❤️ 3
从显示两个字到显示一个字,算已经修复?条毛?
ericwood067
    176
ericwood067  
   2020-09-16 23:53:22 +08:00
@wangkun025 大佬,注销入口在哪里?我在京东 APP 里没找到注销的地方。
wangkun025
    177
wangkun025  
   2020-09-17 01:23:03 +08:00
@ericwood067 我用网页的。找了人工服务,后来他们打电话给我,提供了名字和身份证还有支付密码,就取消了。
AaronTwan
    178
AaronTwan  
   2020-09-17 08:39:46 +08:00
曾经被广告推广,知道我的名字最后一个字,问了他们,说是通过支付宝拿到的
ruixue
    179
ruixue  
   2020-09-17 09:08:29 +08:00   ❤️ 1
@AaronTwan 建议关闭支付宝的“通过手机号找到我”隐私开关,这样陌生人就不能直接通过手机号搜到你支付宝看到你名字最后一个字了,不过现在推销的还是能从京东这边拿到,我们正在等待京东进一步的优化和解决~
lework1234
    180
lework1234  
   2020-09-17 09:51:40 +08:00   ❤️ 3
这找回密码为啥要显示呢,不能要求输入姓名和卡号么?为了体验不能牺牲安全啊
ruixue
    181
ruixue  
   2020-09-17 10:01:08 +08:00   ❤️ 1
@fbi007130 我也觉得。即使显示一个字,那也是我真实姓名的一部分,对于单字名的用户更是“全名”了。在我没有义务向他人展示我姓名的一部分以辅助验证身份(比如接收转账)时,京东有什么理由把我姓名的一部分暴露出去,公开给全世界任何一个人查看呢?

即使是转账场景:微信转账显示姓名的一个字,但微信是默认关闭手机号转账的,陌生人不能通过搜手机号直接给我转账从而看到我姓名的一个字;支付宝转账也显示姓名的一个字,但支付宝也提供了关闭手机号 /邮箱搜索的功能,这样陌生人也不能通过搜手机号 /邮箱直接给我转账从而看到我姓名的一个字;而京东的这个“密码找回”可没有开关供我们用户关闭,任何人都能搜手机号 /邮箱 /用户名看到我姓名的一个字。。单字名用户更是情何以堪。。

一个字那也是我真实姓名中的一个字,我不希望被别有用心的陌生人看到哪怕一个字就不应该被他看到哪怕一个字。所以我认为这个暴露实名信息的漏洞并没有彻底得到修复,这个密码找回的流程还是存在问题的。我想很多人应该和我一样也是这么认为的 @MrStark @cloudzhou @NeonCyberpunk

非常感谢你们的努力,但还是想请求你们再帮忙反馈一下,进一步优化页面或优化流程以彻底修复这个问题:取消姓名显示,或者在添加银行卡页面之前再设一道验证门槛以阻止陌生人的访问。谢谢!
@keelii
@Unclev21x
@ApolloMa
qiaogaohhb
    182
qiaogaohhb  
   2020-09-17 10:48:38 +08:00   ❤️ 2
这也叫修复?
juanxincai
    183
juanxincai  
   2020-09-17 11:04:29 +08:00
@1979827981 我收到过很多次了,一次是京东金融,一次是其他家的,没听清楚,大都是一个套路
Jumenglo
    184
Jumenglo  
   2020-09-17 11:08:07 +08:00
需要改为一个字了比之前好了点
lzhw
    185
lzhw  
OP
   2020-09-17 11:18:27 +08:00   ❤️ 1
@fbi007130
@ruixue
@lework1234
@qiaogaohhb
@Jumenglo
请恕我考虑不周,在第三条附言里面用了“已基本修复”的描述,虽然后面也呼吁京东进一步改进,但之前确实没有认识到问题的严重性。现在看到了大家的回复,深深明白显示姓名的一个字给陌生人看也是极不妥当的,确实不应该认为问题“已基本修复”了,只能说“比之前好了点”,抱歉😭

再次冒昧 at 请原谅,还是希望你们能帮忙反馈一下,做到一个字也不要显示给陌生人看,真正修复此问题。谢谢!
@ApolloMa
@Unclev21x
@keelii
fbi007130
    186
fbi007130  
   2020-09-17 11:30:47 +08:00
京东无耻
想取消实名,要先关闭小金库
关闭小金库,要先清空小金库余额
于是我就立即将那几块钱转出,转出成功后,申请关闭小金库
小金库提示要明天下午 3 点才能关闭,此就是无耻之处!
京东任由信息泄漏并且不能立即立即堵截信息泄漏的漏洞
同时对于小金库这种东西完全结清还不能立即关闭
任由信息泄漏超过 1 天以上
ruixue
    187
ruixue  
   2020-09-17 12:06:50 +08:00
@MrZZZ 请问能否看一下我#181 的帖子,帮忙进一步反馈一下,彻底修复这个漏洞?非常感谢!
AmberJiang
    188
AmberJiang  
   2020-09-17 12:25:33 +08:00
@lzhw 应该是我们谢谢楼主提醒👍
menghan
    189
menghan  
   2020-09-17 13:02:01 +08:00
提供一个国外的情况,坐标新加坡

新加坡有个支持手机号转账的办法,各大主流银行 app 内置支持 (uob, ocbc, dbs, ...) ,叫 PayNow
在 PayNow 中,输入手机号和金额,就可以看到接收人的全名,英文,此时还没有发生转账。

供参考。
lzhw
    190
lzhw  
OP
   2020-09-17 13:20:12 +08:00
@fbi007130 😭

@AmberJiang 谢谢理解~

@menghan 🤮手机号转账这个用户能选择关闭吗?
lzhw
    191
lzhw  
OP
   2020-09-17 13:43:06 +08:00   ❤️ 1
@MrZZZ 同求进一步反馈,谢谢!

可以参考一下大家最近的回帖~希望这个漏洞能早日真正修复,一个字也不要显示给陌生人看😭
ruixue
    192
ruixue  
   2020-09-17 14:53:32 +08:00
@lework1234 “这找回密码为啥要显示呢,不能要求输入姓名和卡号么?为了体验不能牺牲安全啊”

说的极是啊👍
MrZZZ
    193
MrZZZ  
   2020-09-17 16:14:06 +08:00   ❤️ 2
@lzhw 信息安全部的同事说已经接到这个事情的反馈,有关同学正在评估中 ~~
lzhw
    194
lzhw  
OP
   2020-09-17 16:46:01 +08:00
@MrZZZ 非常感谢!
simy
    195
simy  
   2020-09-17 16:56:05 +08:00 via iPhone
之前看到这个帖子不以为意,直到刚才接到一个诈骗电话,自称京东客服,哈哈哈,有点意思
imn1
    196
imn1  
   2020-09-17 17:18:48 +08:00
@simy #195
因为这个帖子也可以 google 搜到,说不准某个黑产也是刚看到,在抢时间多做几单,😄
caaat
    197
caaat  
   2020-09-17 18:02:39 +08:00
@wangkun025 注销是没用的,只是账号不能用了,数据还在库里,账号还是能搜到
simy
    198
simy  
   2020-09-17 18:06:58 +08:00 via iPhone
@imn1 不过这个骗子太好辨别了…新手级别…
paradoxs
    199
paradoxs  
   2020-09-17 18:07:44 +08:00   ❤️ 1
[正确的解决方法] :显示任何敏感信息(包括 1 个字)前,校验手机短信验证码。
如果连手机号都忘了,直接走手持身份证人工审核的通道。

完美解决。
wangkun025
    200
wangkun025  
   2020-09-17 18:08:00 +08:00   ❤️ 2
@caaat 一步步来吧。让京东知道,我们在做点事情了。
1  2  3  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2948 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 33ms · UTC 14:17 · PVG 22:17 · LAX 06:17 · JFK 09:17
Developed with CodeLauncher
♥ Do have faith in what you're doing.