京东已实名用户注意了，现在任何人都能通过你京东的手机号/邮箱/用户名查到你(姓以外)的实名信息

@lzhw 哦，注意到隐藏了一个字。。。现在显示名字的最后一个字了。。。。。

@MrZZZ 谢谢。是的，现在是把显示两个字改成显示一个字了，但是这依然不是我们实名用户所希望的解决办法。我们还是希望能彻底解决这里的问题，一个字都不显示给陌生人看。比如让用户自己输入姓名，或者在添加银行卡页面之前再设一道验证门槛（类似其他找回密码的方式需额外验证收货人姓名或身份 ID 后六位）以阻止陌生人的访问。

同时期网商银行转支付宝暴露用户真实姓名的漏洞 /t/707160 现在已经彻底解决，用户必须同时输入对方的姓名和手机号才能进入转账页面了，彻底堵死了陌生人通过手机号获取姓名的可能性，这次阿里给用户的交代就很令人满意。我们现在就希望京东也能尽快跟进，彻底修复，一个字都不给陌生人看，而不是改成显示一个字就觉得可以了，不需要再修复了。。

@MrZZZ 我觉得#209 说的就很好，贴在下面希望你能再帮忙给相关同学反馈一下，转发给他们请他们看一眼，了解一下我们用户的心声，早日彻底修复此问题~非常感谢！

1. 对于单字名用户来说，显示一个字就等于显示“全名”了啊，这改了相当于没改，真是情何以堪

2. 虽然支付宝微信转账会显示姓名的最后一个字，但支付宝微信也提供了手机查找开关，可以让用户关闭，阻止陌生人通过手机号搜索到自己，看到自己的姓名信息。而京东这个没有关闭选项，全世界的人都能用手机号邮箱用户名搜索到自己看到自己的姓名信息

3. 即使是姓名最后一个字，但实名了就能被查到，不实名就不会被查到，还是让实名用户有种被歧视不受尊重之感

4. 找回密码这个功能本身就没有显示姓名敏感信息的必要，那么原则上就不应该显示(data minimization)。正如 @lework1234 说的，“这找回密码为啥要显示呢，不能要求输入姓名和卡号么？为了体验不能牺牲安全啊”
真的要显示也请在添加银行卡页面之前再设一道验证门槛以阻止陌生人的访问，因为：

5. 我们在京东实名，可没有授权京东向全社会披露我们姓名的最后一个字啊

@MrZZZ 非常感谢

我以为我没中招，直到我收到了短信居然叫出了我名字。目前可以确定是狗东或者淘宝干的，其他地方包括快递留的全是假名，手机号也不是这个，直接锁定这俩。

公布下叫出我名字的手机号：17108116920，这手机归宿地我完全没交情，根本不可能认识，排除熟人恶作剧。
结合 @lzhw 发布的阿里狗东相关信息，排除了阿里泄露可能性。于是就剩下一下源头：狗东！
短信内容可以透漏出手机号是明显暴露了、我名字的后两字是暴露了(估计在狗东初期就被爬了)、另外性别暴露猜测身份证号也被暴露了。这明摆着狗东是给小偷开后门，说不定后面还有屁眼交易。
作为用户真的很无奈，我昨天发现实名泄露后尝试取消实名认证，发现狗东同时也会将身份、账户、会员权益清空且无法恢复、plus 会员权益取消、钢镚余额清空，明摆着提高取消实名的门槛。这次泄露我真是躺着也中枪。
目前本人已向京东邮件投诉，附件相关证据截图，顺便也附上 @lzhw 的相关狗东泄露信息链接，后续根据情况还要再走一波工信部。

后续进展：狗东还是一如既往的机械式回复。
我对狗东回复很不满意，遂继续追究下去，对狗东的回复:
1.此手机号已实施分离需求，仅限狗东阿里使用。
2.支付宝网商银行我没有，所以支付宝通过漏洞泄露可能性没有，另支付宝已关闭通过手机查找，也排除通过支付宝账号转账获取姓名最后一个字可能。所以你们没必要通过特意放大支付宝链接进行甩锅行为。
3.通过排除法，只有你狗东前段时间的忘记密码可以通过手机号获取用户实名信息的漏洞存在泄露可能。也符合 V2EX 传言中狗东漏洞泄露显示除姓以外全名的特征。
4.修復漏洞过程可以看出你们对用户实名信息的不重视导致步骤缓慢。我甚至怀疑不止是我一个躺着中枪的。
5.通过忘记密码渠道可以让爬虫轻松获取用户实名资料，这也是你们狗东安全部门的失职。这个获取渠道直接降低了网络爬虫的门槛，建议你们重点查范自漏洞开始起频繁查询信息的 ip，必要时你们可以报警处理，而不是推给用户。这是你们闯下的祸根，没理由让用户给你擦屁股。
6.如果因信息泄露造成的社会问题，你们狗东也脱不了泄露的干系。建议公告京东用户，给出个解决方案，另我不介意浪费点时间通过把手机号换掉规避风险，至于其他用户如何抉择你狗东有提醒的义务。
7.如果还是机械式回复，没有给我合理的后续处理结果，我会投诉到工信部等其他部门。

@zidansyx 需要注意的是，京东到现在也没有彻底修复这个漏洞，任何人随便输入一个手机号还是能查到对应实名的最后一个字，对于单字名用户来说就是全名。这么多天了我们已经多次呼吁和请求京东进一步处理，一个字都不要显示给陌生人看，也给出了我们认为更合适的解决方案：让用户自己输入姓名，或者在添加银行卡页面之前再设一道验证门槛（类似其他找回密码的方式需额外验证收货人姓名或身份 ID 后六位）以阻止陌生人的访问。但是直到现在也没有任何回音，更不用说处理修复了。

反观阿里这边类似漏洞的处理，现在网商银行转账支付宝时必须同时输入对方的姓名和手机号才能进入转账页面了，不匹配就到不了下一步，彻底堵死了陌生人通过手机号获取姓名的可能性，可以说给了用户一个很满意的交代。而京东把暴露两个字改成暴露一个字之后就迟迟没有动静，好像认为漏洞已经彻底堵死，用户没理由再要求更多。。这种对待用户隐私的态度确实令人失望。。甚至令人心寒。。

在我们的印象中，找回密码一般都是用户主动提供信息供网站验证身份，而不是网站主动显示用户信息让你看看这是不是你吧？那么在各大实名网站里面，为什么其他家都不会，偏偏就京东会在找回密码时暴露用户实名信息呢？实在令人想不通，可惜这就是目前的事实。。

#209 说的就挺好——单字名用户暴露全名的尴尬，不像支付宝微信能提供关闭查找开关、强行公开给任何人查询而没办法阻止，实名就能被查不实名就不会被查让实名用户有被歧视不受尊重之感，敏感数据最小化原则：没必要显示就不应该显示，用户也没有授权京东向全社会披露自己姓名的最后一个字。。每一点我觉得说的都很有分量，真的希望京东能好好看看~

@lzhw 昨晚已再测试，还是一如既往的显示对应实名的最后一个字。经过一晚上的纠结，最终还是在今早取消了京东实名。

@zidansyx 唉。。真的很无奈。。祝你后续能成功。。

@MrZZZ 请问有什么新进展吗？谢谢

@lzhw 今天给的依旧是机械式回复，看来让狗东主动承认错误并作出行动是不可能了。我有个问题，京东这次涉嫌违法泄露用户实名信息，走哪个投诉渠道比较好。

@zidansyx 抱歉，我也不是很懂这些，只能帮忙提供一些思路，见谅。。可以参考一下#105 、#121 @libook 的帖子，试试工信部。互联网信息服务投诉平台、工商消协、12321 、12377 也可以考虑。由于京东的实名认证实际上是由京东金融提供的，暴露信息的绑卡页面也涉及银行的快捷支付签约，银监会投诉也可以试试。。

之前看到一篇文章，http://credit.fzgg.tj.gov.cn/459/33381.html，不由感慨现在确实好难，真希望以后能好起来。。