京东已实名用户注意了，现在任何人都能通过你京东的手机号/邮箱/用户名查到你(姓以外)的实名信息

hullhutt

2020-09-16 10:25:16 +08:00

用火狐浏览器,提示:很抱歉，账号无可用认证方式
谷歌浏览器和 edge 会暴露姓名

guanhui07

2020-09-16 10:35:00 +08:00

还真的是

lzhw

2020-09-16 10:35:35 +08:00

@JellyDong 我支付宝那边 /t/707160 和京东这边都中枪了，心情也是难以言表😭

leekafai

2020-09-16 10:37:43 +08:00

工信部走起

zhbzhbzhbz

2020-09-16 10:42:30 +08:00

@madNeal 没错~所以只能是说，类似邮箱这种用来找回密码的东西一定要单独设就行

lusi1990

2020-09-16 10:45:45 +08:00

成功复现，之前爬京东就发现有些接口是不需要验证就可以爬了

leeg810312

2020-09-16 10:49:33 +08:00

各家的安全单独看是没有问题的，只显示姓或只显示名，共同使用才会产生安全漏洞，你不能单方面说是京东的问题或是阿里腾讯的问题。你能规定各家的安全规则一致吗？

sleepm

2020-09-16 10:52:32 +08:00

58 啥的简历没人关注么
只要设置不当，别人随意看
哪年上的啥大学，叫啥，手机号，甚至驾照都能看到

showgood163

2020-09-16 10:55:26 +08:00

@talentr9 已 b

lzhw

2020-09-16 10:59:44 +08:00

@leeg810312 京东这个确实需要其他来源的信息交叉验证，但是我另一个帖子里提到的“网商银行转账支付宝大概率能拿到姓名”的漏洞 /t/707160 就完全不需要其他信息来源，通过转账页面的姓名校验功能输入常见姓氏进行碰撞就大概率能拿到对方真实姓名。。

前十大姓(王李张刘陈杨赵黄周吴)的人口就占了全国人口的 44%，即使不知道一个人的姓氏，尝试校验 10 次就有 44%的概率得到 TA 的全名，再往后多试几次概率更大

DandelionFlowers

2020-09-16 11:11:32 +08:00

一个支付宝转账一个京东找回密码 ...

ruixue

2020-09-16 11:18:28 +08:00

吐了。。
有京东和支付宝的员工吗？请和你们公司反映一下吧

MrZZZ

2020-09-16 11:33:04 +08:00

@lzhw 细思极恐！！！我刚刚复现了一下，居然真的查出了一个随便输入的手机号的名字和部分银行卡号！！！
我已经在内网上反馈这个事情了，后续应该有人会跟进，如果有回复，我会更新的！！！

TypeError

2020-09-16 11:43:13 +08:00

推广实名制的都该死

SenLief

2020-09-16 11:43:50 +08:00

我这面无法显示全名，只能显示一个字，以及身份证号的第一位和最后一位。其实这部分已经没有意义了，因为我这些注册的都是用了一个不用的手机号，只用来收验证码的。

lzhw

2020-09-16 11:46:36 +08:00

@MrZZZ 谢谢！

lzhw

2020-09-16 12:07:04 +08:00

@SenLief 确实是个好习惯，也建议大家都尽量多个手机号分离需求

不过还是想提醒一下，也要小心我在#51 里说的，其他网站泄露了你专门注册用的手机号，然后被人肉和网络暴力的可能性。。

还有，jd 泄露的就是除姓以外的真实名字，如果你只看到一个字，说明那个用户就是单字名，如果是双字名，就能看到两个字的~

SenLief

2020-09-16 12:18:04 +08:00

@lzhw 哈哈，一般情况下其实姓名和手机号已经泄露的差不多了，就连身份证都基本上泄露了，你去 tg 上找，发现有很多的手持都。所以说都不用被爆破，目前泄露的就那么几家大的在泄露，这是在国内无法处理的事情。

我小号 1 年一换，反正便宜。

QUIOA

2020-09-16 12:23:55 +08:00

@hafuhafu 2.2 亿那个嘛

lzhw

2020-09-16 12:31:09 +08:00

@DandelionFlowers 真的要🤮了