本文讲的是
个人敏感信息打码,你使用的产品真正做到位了吗?,
上周五58同城被爆简历数据泄漏,有淘宝店家正在贩卖,只需700元就可购买软件采集全国用户的简历信息,包括姓名、手机、年龄、求职方向、期望月薪、工作经验、居住地、学历等。
招聘行业一直是信息泄漏高风险区,58同城此次事件也印证了这点。但略难堪的是,2016年初开始传播、持续一年多时间的成规模简历泄漏,只是因为几个接口设计不当的低级漏洞,不禁令人反思。
最近两天,嘶吼编辑和接近此事的朋友聊天,侧面了解到一则关联的信息泄漏漏洞。由于58同城内部两个招聘相关模块缺少沟通,对用户手机号打码位置不一致,导致攻击者只需拼凑下就能得到完整的手机号。
这个漏洞实在太经典,值得专门来探讨一番。过去发生过太多类似案例,用户把个人私密信息交给企业,企业由于产品设计不当过多地展示,让攻击者轻易就能获得这些私密信息。
下边我们一起进入案例展示时间。
身份证、银行卡究竟该码几位?
身份证号的18位数字是有规则的,它会依次展示公民的所在地省市县区、出生年月日、性别等信息。许多人可能不清楚,银行卡号的16位数字也是有规则的。一般前6位数字是卡种信息,比如622848表示农业银行的金穗通宝银联借记卡;接着的6-12位为银行自定义位,国内大多数银行会用来表示发卡的城市分行、发卡网点等信息。
要展示身份证没打码引发的身份泄漏风险,最佳案例莫过于火车票。2010年推行实名制后,火车票上都会印着购票者的完整身份证号和姓名,票丢了身份证号和姓名也就漏了。由于吐槽太多,铁道部后来改进,把身份证表示生日的4位数字打码,但效果只能算聊胜于无。生日最多有366种可能,通过身份证号的验证位规则尝试验证,可以把范围缩小到几十种,配合姓名很容易确认。
图/新华社,铁道部于2015年推出的新版火车票,身份证码四位数字,姓名完整显示
银行卡号也一样,打码过少的话,前六位可以判断某张卡是否为白金及以上高级卡种,后边数字可能还能知道是北京海淀中关村分行开的卡。掌握这些信息,做诈骗是不是简单很多?早期的电商网站盗号者就是这么干的。
嘶吼编辑查看个人在用的主流移动端产品,核验它们对身份证、银行卡号的隐私保护程度,发现摩拜、ofo内身份证号未予显示;支付宝、京东钱包、微信钱包、招行掌上生活等几款做得不错,只剩第一位、最后一位数字未码;中国联通前四、后四未码;QQ钱包前六、后二未码;银行卡号大多是最后四位未码,少数前四、后四未码。
支付产品里购物?铁定有信息泄漏风险
这是我做这次选题的一个发现。支付产品里有最全的用户个人资料,包括姓名、电话、身份证、银行卡号、邮箱等。这些信息一般都被保护得很好,该码的地方肯定码了。但如果那款产品可以买东西,我们几乎都找到了缺口拿到完整信息。
以京东为例,个人中心的身份证号码得只剩两位,算保护严实吧。但在某些没留意的小地方,比如“手机卡购买”,用户以前因为手机卡实名认证填写过,那么现在就能看到。
图/嘶吼,京东App内购买手机卡界面
在支付宝里,手机号是码了中间四位,脱过敏的。不过在一个五级入口“收货地址管理编辑”里,明文保存着用户淘宝上用过的所有收货地址,姓名、手机号都在。通常来说,支付宝绑定手机也会在里边。
图/嘶吼,支付宝App内收货地址编辑界面
顺便提下,微信钱包的手机充值,可以查看当前微信的绑定手机号(考虑到微信的社交属性,应用内电话号码是可见的,这里也不算什么了)。
这只是一次不足一小时的小调查,如果大家愿意多花点精力,肯定能找到更多。支付产品有严格的登录保护,上述登录后的信息泄漏风险一般认为危害很小。但支付产品也是盗号频发地段,一旦被盗号这些都可能成为攻击者的帮凶,小危害诱发大风险,各家厂商应需严谨对待才是。
快递单上的电信诈骗
在各类电信诈骗当中,快递单诈骗是其中一项大头,购买快递单用作广告骚扰、精准钓鱼,瞄准货到付款订单假冒快递员送货,专门根据寄卡快递单整出的信用卡提升额度诈骗等等。
快递单上未打码的用户资料,是构成快递单骗局的必备信息。过去十余年里,快递行业一直深受其扰,顺丰、京东、四通一达莫不如是。只是限于改造成本,快递单打码的话快递员需要一套新的系统来查看用户信息送货,难以承担。
从去年开始,京东、菜鸟网络先后开始试行隐私快递单,单上的用户名字、电话号码会部分打码,以保护用户隐私。两家带头企业的举措,相信会带动一批跟上来,逐渐成为行业标配。
图/36kr,京东微笑快递单,姓名和电话部分用微笑表情替代
图/36kr,菜鸟网络隐私快递单,姓名和电话部分用**替代,目前仅菜鸟合作伙伴黄马甲试运营
尾声
由58同城的手机号泄漏漏洞开始,我们展开讲述了线上线下支付、电商、快递等产品在个人私密信息保护上的不同程度疏忽,这些疏忽曾或多或少对用户造成过影响,甚至是伤害。
该如何解决呢?按国内情况,想靠厂商自觉是不太可能,更需要用户力量来驱动。嘶吼希望大家如果发现类似问题,可以积极向厂商报告,督促修复并公开。一个人很难做到,但成百上千个就很有机会了。
原文发布时间为:2017年3月29日
本文作者:longye
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。