工单节点使用指南 请用平和的语言准确描述你所遇到的问题 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
这是一个创建于 2609 天前的主题,其中的信息可能已经有所发展或是发生改变。
背景
刚才打了个摩拜客服,直接被问到真实姓名。
但是我是微信小程序注册的,不记得有填过名字。
报微信昵称不对,报胡伟伟也不行,后来又瞎报了几个,替换姓名的各个位置,都是秒否。
最后报了真名,通过了。
1. 客服能直接查询用户的手机和实名
那么到这里,基本可以推断, 客服是可以根据我的手机号,直接在系统里读取我的完整姓名的。 不然不可能否得那么快。那么这一步至少 信息安全是很差的 。
2. 客服是否有必要知道用户实名
而且作为一个客服,我报出手机(id 号)和订单号(车号),就足以让对方检索了,一定要确认实名的理由是什么呢?
因为他其实已经看到了我的手机号和实名,所以不存在他输错实名进入不了系统这样的情况。也就是说,即使没有这一步,他也是可以继续提供服务的。那为什么要设计这个步骤呢?
3. 实名的获取方式
最后,我的疑问是,摩拜是怎么知道我真实姓名的?
- 通过手机号,后台通过某个方式,得到我真名。
- 通过快捷支付,得到我真名。
有懂行的给说说嘛~
第 1 条附言 2018-08-22 18:52:15 +08:00
破案了,用阿里小号又操作了一遍。是小程序注册的时候,直接通过微信快捷授权的(我当初应该是这里大意了)。
但是可以手动输入他人的姓名和身份证号(实测成功,只需要文本,不需要照片等)。
顺便测试了几点:
1. 身份证本身会校验,身份证校验码不对通不过。
2. 编造的身份证信息,地区码存在,验证码正确,会被否。
3. 已入库的身份证,会提示已占用。
4. 大概率真的会验证姓名和身份证是否匹配(这接口貌似有用~)
5. 三次错误,会提示要去 app 弄。但退出再进入,就可以复用了。(猜测是页面 js 判断次数)
那么剩下的问题就是,**是否有必要开放给客服这样的权限?会不会有安全漏洞?**
PS:只要这个漏洞还存在,那就还是开个小号吧。不然客服根据电话号码,就能知道你的真名,还能查到你的轨迹,匿了匿了。
相信制度和人性,不相信所谓的职业操守。
万一哪天有某个待攻击对象,给 ta 编个故事搞个事件,客服头脑一热帮忙人肉 ta 了,这种可能性应该从系统设计上杜绝。
但是可以手动输入他人的姓名和身份证号(实测成功,只需要文本,不需要照片等)。
顺便测试了几点:
1. 身份证本身会校验,身份证校验码不对通不过。
2. 编造的身份证信息,地区码存在,验证码正确,会被否。
3. 已入库的身份证,会提示已占用。
4. 大概率真的会验证姓名和身份证是否匹配(这接口貌似有用~)
5. 三次错误,会提示要去 app 弄。但退出再进入,就可以复用了。(猜测是页面 js 判断次数)
那么剩下的问题就是,**是否有必要开放给客服这样的权限?会不会有安全漏洞?**
PS:只要这个漏洞还存在,那就还是开个小号吧。不然客服根据电话号码,就能知道你的真名,还能查到你的轨迹,匿了匿了。
相信制度和人性,不相信所谓的职业操守。
万一哪天有某个待攻击对象,给 ta 编个故事搞个事件,客服头脑一热帮忙人肉 ta 了,这种可能性应该从系统设计上杜绝。
 | 1 yuchuanzhen 2018-08-22 18:19:12 +08:00 摩拜不是实名认证之后才能用的吗? |
 | 2 lshero 2018-08-22 18:27:18 +08:00 摩拜单车不是要填写实名还有身份证号信息后之后才可以用嘛? 核实是否为本人使用估计不想给那些账号租借的 APP 如全能车提供客服资源 |
 | 3 JCZ2MkKb5S8ZX9pq OP @yuchuanzhen 因为平时比较注意,所以填是肯定没填过,要填我肯定就直接不用了。 要么是小程序里,微信授权给它的? |
 | 4 qiayue PRO 摩拜不管是公众号还是小程序还是 APP 都需要实名认证并且缴纳 300 元押金之后才能使用 |
| 5 qiayue PRO 小程序里边授权身份证信息,目前微信只给 ZF 部门开发权限,普通公司是拿不到这个接口的 |
| 6 yuchuanzhen 2018-08-22 18:34:03 +08:00 @JCZ2MkKb5S8ZX9pq 实名认证才能用啊。应该是你记错了。 |
| 7 JCZ2MkKb5S8ZX9pq OP @qiayue 押金早就不收了…… |
| 8 JCZ2MkKb5S8ZX9pq OP @yuchuanzhen 已破案 微信快捷授权 |
 | 9 fengleidongxi 2018-08-22 19:00:21 +08:00 没看懂,怎么知道名字的? |
 | 10 wolfie 2018-08-22 21:41:38 +08:00 发个牢骚,同小程序授权信息。 『每日优鲜便利购』小程序。 反映一个活动 bug,开发没复现,直接给我手机打电话。 非常反感,差点骂人。 |
 | 11 loveour 2018-08-22 23:21:16 +08:00 开始各种要求实名制的时候就特别反感,想要不泄露信息,只有不收集信息才行,要求实名制,就无异于让大家一起把个人信息放在网上飞。说要求公司保密,但是有蛋用?那么多地方都有信息,随便一个环节就泄露了。但是后来也想开了,反正早就不知道泄露多少次了。 |
 | 12 agagega 2018-08-22 23:44:49 +08:00 今天还在想,银行就算了,可以理解。为啥我骑一个共享单车也要把我完整的个人身份信息交上去? |
 | 13 300 2018-08-22 23:51:16 +08:00 via Android 哈罗单车客服可以通过身份证号码查账户。。 |
 | 14 cncqw 2018-08-23 08:11:56 +08:00 各位 dalao 不看新闻还是村里刚通网? 《中华人民共和国网络安全法》: 第二十四条 网络运营者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。 …… 第七十九条 本法自 2017 年 6 月 1 日起施行 |
 | 15 forson 2018-08-23 12:52:33 +08:00 这个。。。不光是摩拜啊,好多软件都会用到实名和身份证号,有很多第三方的 API 吧应该,需要输入身份证的都会做校验匹配,所以。。。 |
| 16 JCZ2MkKb5S8ZX9pq OP @cncqw 这个在执行层面,大部分产品是手机号认证,间接来的吧。并没有都确切到身份证和实名吧。 而且,各平台对应的安全防护能力并不是都那么好吧。对管理来说增加便利,对用户来说,几乎集体裸奔了。无奈啊 |
| 17 JCZ2MkKb5S8ZX9pq OP @agagega 上海这边交通卡 app 充值就要实名,活见鬼。app 钱包里不用,实体卡也不用,但 app 就是要收集。然后实名再配合进出站记录…… 而且地铁公司的数据安全水平…… |
 | 18 helionzzz 2018-08-23 15:18:47 +08:00 全网实名制不是从去年就开始了么。。这有什么好奇怪的 |
| 19 JCZ2MkKb5S8ZX9pq OP @helionzzz 在 V2 我就没提交过真名和身份证啊……你填过? |
| 20 helionzzz 2018-08-24 09:43:53 +08:00 @JCZ2MkKb5S8ZX9pq 你的手机号总不会是黑户吧 全网实名制当然不会仅仅是在单一网站上要求实名这么简单而已。一环套一环确保你跑不掉这才是全网实名制 |
Select Language