個人敏感信息打碼,你使用的產品真正做到位了嗎?
上周五58同城被爆簡曆數據泄漏,有淘寶店家正在販賣,只需700元就可購買軟體採集全國用戶的簡歷信息,包括姓名、手機、年齡、求職方向、期望月薪、工作經驗、居住地、學歷等。
招聘行業一直是信息泄漏高風險區,58同城此次事件也印證了這點。但略難堪的是,2016年初開始傳播、持續一年多時間的成規模簡歷泄漏,只是因為幾個介面設計不當的低級漏洞,不禁令人反思。
最近兩天,嘶吼編輯和接近此事的朋友聊天,側面了解到一則關聯的信息泄漏漏洞。由於58同城內部兩個招聘相關模塊缺少溝通,對用戶手機號打碼位置不一致,導致攻擊者只需拼湊下就能得到完整的手機號。
這個漏洞實在太經典,值得專門來探討一番。過去發生過太多類似案例,用戶把個人私密信息交給企業,企業由於產品設計不當過多地展示,讓攻擊者輕易就能獲得這些私密信息。
下邊我們一起進入案例展示時間。
身份證、銀行卡究竟該碼幾位?
身份證號的18位數字是有規則的,它會依次展示公民的所在地省市縣區、出生年月日、性別等信息。許多人可能不清楚,銀行卡號的16位數字也是有規則的。一般前6位數字是卡種信息,比如622848表示農業銀行的金穗通寶銀聯借記卡;接著的6-12位為銀行自定義位,國內大多數銀行會用來表示發卡的城市分行、發卡網點等信息。
要展示身份證沒打碼引發的身份泄漏風險,最佳案例莫過於火車票。2010年推行實名制後,火車票上都會印著購票者的完整身份證號和姓名,票丟了身份證號和姓名也就漏了。由於吐槽太多,鐵道部後來改進,把身份證表示生日的4位數字打碼,但效果只能算聊勝於無。生日最多有366種可能,通過身份證號的驗證位規則嘗試驗證,可以把範圍縮小到幾十種,配合姓名很容易確認。
圖/新華社,鐵道部於2015年推出的新版火車票,身份證碼四位數字,姓名完整顯示
銀行卡號也一樣,打碼過少的話,前六位可以判斷某張卡是否為白金及以上高級卡種,後邊數字可能還能知道是北京海淀中關村分行開的卡。掌握這些信息,做詐騙是不是簡單很多?早期的電商網站盜號者就是這麼乾的。
嘶吼編輯查看個人在用的主流移動端產品,核驗它們對身份證、銀行卡號的隱私保護程度,發現摩拜、ofo內身份證號未予顯示;支付寶、京東錢包、微信錢包、招行掌上生活等幾款做得不錯,只剩第一位、最後一位數字未碼;中國聯通前四、後四未碼;QQ錢包前六、後二未碼;銀行卡號大多是最後四位未碼,少數前四、後四未碼。
支付產品里購物?鐵定有信息泄漏風險
這是我做這次選題的一個發現。支付產品里有最全的用戶個人資料,包括姓名、電話、身份證、銀行卡號、郵箱等。這些信息一般都被保護得很好,該碼的地方肯定碼了。但如果那款產品可以買東西,我們幾乎都找到了缺口拿到完整信息。
以京東為例,個人中心的身份證號碼得只剩兩位,算保護嚴實吧。但在某些沒留意的小地方,比如「手機卡購買」,用戶以前因為手機卡實名認證填寫過,那麼現在就能看到。
圖/嘶吼,京東App內購買手機卡界面
在支付寶里,手機號是碼了中間四位,脫過敏的。不過在一個五級入口「收貨地址管理編輯」里,明文保存著用戶淘寶上用過的所有收貨地址,姓名、手機號都在。通常來說,支付寶綁定手機也會在裡邊。
圖/嘶吼,支付寶App內收貨地址編輯界面
順便提下,微信錢包的手機充值,可以查看當前微信的綁定手機號(考慮到微信的社交屬性,應用內電話號碼是可見的,這裡也不算什麼了)。
這只是一次不足一小時的小調查,如果大家願意多花點精力,肯定能找到更多。支付產品有嚴格的登錄保護,上述登錄後的信息泄漏風險一般認為危害很小。但支付產品也是盜號頻發地段,一旦被盜號這些都可能成為攻擊者的幫凶,小危害誘發大風險,各家廠商應需嚴謹對待才是。
快遞單上的電信詐騙
在各類電信詐騙當中,快遞單詐騙是其中一項大頭,購買快遞單用作廣告騷擾、精準釣魚,瞄準貨到付款訂單假冒快遞員送貨,專門根據寄卡快遞單整出的信用卡提升額度詐騙等等。
快遞單上未打碼的用戶資料,是構成快遞單騙局的必備信息。過去十餘年裡,快遞行業一直深受其擾,順豐、京東、四通一達莫不如是。只是限於改造成本,快遞單打碼的話快遞員需要一套新的系統來查看用戶信息送貨,難以承擔。
從去年開始,京東、菜鳥網路先後開始試行隱私快遞單,單上的用戶名字、電話號碼會部分打碼,以保護用戶隱私。兩家帶頭企業的舉措,相信會帶動一批跟上來,逐漸成為行業標配。
圖/36kr,京東微笑快遞單,姓名和電話部分用微笑表情替代
圖/36kr,菜鳥網路隱私快遞單,姓名和電話部分用**替代,目前僅菜鳥合作夥伴黃馬甲試運營尾聲
由58同城的手機號泄漏漏洞開始,我們展開講述了線上線下支付、電商、快遞等產品在個人私密信息保護上的不同程度疏忽,這些疏忽曾或多或少對用戶造成過影響,甚至是傷害。
該如何解決呢?按國內情況,想靠廠商自覺是不太可能,更需要用戶力量來驅動。嘶吼希望大家如果發現類似問題,可以積極向廠商報告,督促修復並公開。一個人很難做到,但成百上千個就很有機會了。
嘶吼編輯@llopppp 對本文亦有貢獻。
本文為嘶吼編輯撰寫,如若轉載,請註明來源於嘶吼: 個人敏感信息打碼,你使用的產品真正做到位了嗎? 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※女生必備的小東西是什麼?
※網購和個人隱私泄漏
※生活小用品(二)
※很多原裝進口的冰酒在專業 B2C 網站上一兩百的可以賣到六七千瓶,怎麼回事?