个人敏感信息打码,你使用的产品真正做到位了吗?

本文讲的是个人敏感信息打码,你使用的产品真正做到位了吗?,上周五58同城被爆简历数据泄漏,有淘宝店家正在贩卖,只需700元就可购买软件采集全国用户的简历信息,包括姓名、手机、年龄、求职方向、期望月薪、工作经验、居住地、学历等。

招聘行业一直是信息泄漏高风险区,58同城此次事件也印证了这点。但略难堪的是,2016年初开始传播、持续一年多时间的成规模简历泄漏,只是因为几个接口设计不当的低级漏洞,不禁令人反思。

最近两天,嘶吼编辑和接近此事的朋友聊天,侧面了解到一则关联的信息泄漏漏洞。由于58同城内部两个招聘相关模块缺少沟通,对用户手机号打码位置不一致,导致攻击者只需拼凑下就能得到完整的手机号。

这个漏洞实在太经典,值得专门来探讨一番。过去发生过太多类似案例,用户把个人私密信息交给企业,企业由于产品设计不当过多地展示,让攻击者轻易就能获得这些私密信息。

下边我们一起进入案例展示时间。

身份证、银行卡究竟该码几位?

身份证号的18位数字是有规则的,它会依次展示公民的所在地省市县区、出生年月日、性别等信息。许多人可能不清楚,银行卡号的16位数字也是有规则的。一般前6位数字是卡种信息,比如622848表示农业银行的金穗通宝银联借记卡;接着的6-12位为银行自定义位,国内大多数银行会用来表示发卡的城市分行、发卡网点等信息。

要展示身份证没打码引发的身份泄漏风险,最佳案例莫过于火车票。2010年推行实名制后,火车票上都会印着购票者的完整身份证号和姓名,票丢了身份证号和姓名也就漏了。由于吐槽太多,铁道部后来改进,把身份证表示生日的4位数字打码,但效果只能算聊胜于无。生日最多有366种可能,通过身份证号的验证位规则尝试验证,可以把范围缩小到几十种,配合姓名很容易确认。

图/新华社,铁道部于2015年推出的新版火车票,身份证码四位数字,姓名完整显示

银行卡号也一样,打码过少的话,前六位可以判断某张卡是否为白金及以上高级卡种,后边数字可能还能知道是北京海淀中关村分行开的卡。掌握这些信息,做诈骗是不是简单很多?早期的电商网站盗号者就是这么干的。

嘶吼编辑查看个人在用的主流移动端产品,核验它们对身份证、银行卡号的隐私保护程度,发现摩拜、ofo内身份证号未予显示;支付宝、京东钱包、微信钱包、招行掌上生活等几款做得不错,只剩第一位、最后一位数字未码;中国联通前四、后四未码;QQ钱包前六、后二未码;银行卡号大多是最后四位未码,少数前四、后四未码。

支付产品里购物?铁定有信息泄漏风险

这是我做这次选题的一个发现。支付产品里有最全的用户个人资料,包括姓名、电话、身份证、银行卡号、邮箱等。这些信息一般都被保护得很好,该码的地方肯定码了。但如果那款产品可以买东西,我们几乎都找到了缺口拿到完整信息。

以京东为例,个人中心的身份证号码得只剩两位,算保护严实吧。但在某些没留意的小地方,比如“手机卡购买”,用户以前因为手机卡实名认证填写过,那么现在就能看到。

图/嘶吼,京东App内购买手机卡界面

在支付宝里,手机号是码了中间四位,脱过敏的。不过在一个五级入口“收货地址管理编辑”里,明文保存着用户淘宝上用过的所有收货地址,姓名、手机号都在。通常来说,支付宝绑定手机也会在里边。

图/嘶吼,支付宝App内收货地址编辑界面

顺便提下,微信钱包的手机充值,可以查看当前微信的绑定手机号(考虑到微信的社交属性,应用内电话号码是可见的,这里也不算什么了)。

这只是一次不足一小时的小调查,如果大家愿意多花点精力,肯定能找到更多。支付产品有严格的登录保护,上述登录后的信息泄漏风险一般认为危害很小。但支付产品也是盗号频发地段,一旦被盗号这些都可能成为攻击者的帮凶,小危害诱发大风险,各家厂商应需严谨对待才是。

快递单上的电信诈骗

在各类电信诈骗当中,快递单诈骗是其中一项大头,购买快递单用作广告骚扰、精准钓鱼,瞄准货到付款订单假冒快递员送货,专门根据寄卡快递单整出的信用卡提升额度诈骗等等。

快递单上未打码的用户资料,是构成快递单骗局的必备信息。过去十余年里,快递行业一直深受其扰,顺丰、京东、四通一达莫不如是。只是限于改造成本,快递单打码的话快递员需要一套新的系统来查看用户信息送货,难以承担。

从去年开始,京东、菜鸟网络先后开始试行隐私快递单,单上的用户名字、电话号码会部分打码,以保护用户隐私。两家带头企业的举措,相信会带动一批跟上来,逐渐成为行业标配。

图/36kr,京东微笑快递单,姓名和电话部分用微笑表情替代

图/36kr,菜鸟网络隐私快递单,姓名和电话部分用**替代,目前仅菜鸟合作伙伴黄马甲试运营

尾声

由58同城的手机号泄漏漏洞开始,我们展开讲述了线上线下支付、电商、快递等产品在个人私密信息保护上的不同程度疏忽,这些疏忽曾或多或少对用户造成过影响,甚至是伤害。

该如何解决呢?按国内情况,想靠厂商自觉是不太可能,更需要用户力量来驱动。嘶吼希望大家如果发现类似问题,可以积极向厂商报告,督促修复并公开。一个人很难做到,但成百上千个就很有机会了。

原文发布时间为:2017年3月29日

本文作者:longye 

本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

原文链接

时间: 2024-09-30 04:27:13

个人敏感信息打码,你使用的产品真正做到位了吗?的相关文章

利用“PHP彩蛋”进行敏感信息获取

关于"PHP彩蛋"的说法也许很多老PHPer已经都知道或听说了,好像是早在PHP4版本的时候就有彩蛋了,挺好玩儿的,可能近年来逐渐被人们遗忘了,其实彩蛋功能在PHP脚本引擎默认情况下是开启. 写个phpinfo();然后访问,再加上以下的GET值即可查阅 下面就用Discuz官方论坛做一下测试: http://www.discuz.net/?=PHPE9568F34-D428-11d2-A769-00AA001ACF42 http://www.discuz.net/?=PHPE9568

WiFi信号干扰可以泄漏你的密码和敏感信息

研究人员发现,你在手机上输入密码时,肢体动作会干扰WiFi信号,黑客可通过分析WiFi信号干扰,窃取你的敏感信息,比如你的密码.PINs以及按键信息等. 近日,来自上海交通大学.南佛罗里达大学和波士顿马萨诸塞大学的一组研究人员展示了一种新技术,通过分析无线电信号干扰,只使用一个钓鱼WiFi热点就可以窃取私人信息.这项技术被称为WindTalker,攻击通过读取叫做信道状态信息(CSI)的无线电信号模式,嗅探用户在手机触摸屏或计算机键盘上的手指运动. CSI是WiFi协议的一部分,其提供关于WiF

如何使用“PHP” 彩蛋进行敏感信息获取_php技巧

关于"PHP彩蛋"的说法也许很多老PHPer已经都知道或听说了,好像是早在PHP4版本的时候就有彩蛋了,挺好玩儿的,可能近年来逐渐被人们遗忘了,其实彩蛋功能在PHP脚本引擎默认情况下是开启. 写个phpinfo();然后访问,再加上以下的GET值即可查阅下面就用Discuz官方论坛做一下测试:http://www.discuz.net/?=PHPE9568F34-D428-11d2-A769-00AA001ACF42http://www.discuz.net/?=PHPE9568F35

Android新漏洞泄露敏感信息:影响近九成用户

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 新浪科技讯 北京时间6月30日上午消息,IBM的研究人员发现,大约有86%的Android手机中都存在一个漏洞.黑客可能借此获取用户的敏感信息,包括银行服务和虚拟专用网络(VPN)的密钥,以及用于解锁设备的PIN码或图形. 该漏洞位于Android KeyStore,这是Android系统的一个敏感区域,专门用于存储密钥和类似的身份信息.借助

Android 新漏洞泄露敏感信息

IBM的研究人员发现,大约有86%的Android手机中都存在一个漏洞.黑客可能借此获取用户的敏感信息,包括银行服务和虚拟专用网络(VPN)的密钥,以及用于解锁设备的PIN码或图形. 该漏洞位于Android KeyStore,这是Android系统的一个敏感区域,专门用于存储密钥和类似的身份信息.借助该漏洞,黑客可以通过执行恶意代码来获取用户的敏感信 息.研究人员称,谷歌仅在Android 4.4奇巧系统中修补了这一漏洞,其余版本仍会受到该问题的影响.受影响的用户在所有Android用户中的占

卡巴斯基遭黑客SQL入侵 曝光敏感信息

据国外媒体报道,一名黑客上周六声称,已成功侵入知名互联网安全厂商卡巴斯基的一个敏感信息数据库,并获得了有关卡巴斯基产品及其客户的敏感数据. 该黑客称自己使用简单的SQL注入命令就成功攻入此数据库,该数据库内有大量卡巴斯基的产品与客户信息,包括用户名单,激活码,软件bug列表,管理员名单等,他还公布了屏幕截图和大量细节做为佐证,卡巴斯基拒绝对此置评,但两名安全专家浏览了这名黑客公布的资料后表示,卡巴斯基数据库被攻破导致资料外泄的情况属实. 该黑客表示,只需对卡巴斯基网站的URL链接进行少许修改,网

使用apache mod_env模块保存php程序敏感信息

Apache模块 mod_env 说明:允许Apache修改或清除传送到CGI脚本和SSI页面的环境变量 模块名:env_module 源文件:mod_env.c 本模块用于控制传送给CGI脚本和SSI页面的环境变量. 所传送的环境变量可以来自调用 httpd 进程的shell,或者来自配置过程中所设定(set)或撤销(unset)的变量. SetEnv 指令 说明:设置环境变量 语法:SetEnv env-variable value 作用域:server config, virtual ho

邮件服务器中用内容过滤器过滤敏感信息

快过年了,这个时间公司的年终奖.过节费......,都已各种由头都发下去了.接下来有就该讨论"那个奖金多,那个奖金少......".有人欢喜有人愁啊!关于公司如何能让自己的员工生活过的更好,奖金和工资如何才能发到员工的心坎儿上,不是我们讨论的范畴,或许公司领导早有考虑.作为公司管理员虽然无法控制传播源,但是可以减少传播途径,不让我们的邮件服务器变成传输敏感信息的工具,如何能让我们的邮件服务器自动过滤这些带有敏感信息的邮件?比如:"工资"."薪酬"

Android应用开发allowBackup敏感信息泄露的一点反思

转载:http://blog.csdn.net/yanbober/article/details/46417531 其实这篇文章可能有些小题大作,但回过头想想还是很有必要的,有点阴沟里翻船的感觉.相信大家都知道Android API Level 8开始提供了为应用程序备份和恢复数据的功能,此功能的开关可以通过应用程序中AndroidManifest.xml文件的allowBackup属性值进行配置,默认是True,所以用户可以对我们应用程序进行数据备份.相信很多人都和我一样一直当作耳边风过了一下