個人敏感信息打碼，你使用的產品真正做到位了嗎？

上周五58同城被爆簡曆數據泄漏，有淘寶店家正在販賣，只需700元就可購買軟體採集全國用戶的簡歷信息，包括姓名、手機、年齡、求職方向、期望月薪、工作經驗、居住地、學歷等。

招聘行業一直是信息泄漏高風險區，58同城此次事件也印證了這點。但略難堪的是，2016年初開始傳播、持續一年多時間的成規模簡歷泄漏，只是因為幾個介面設計不當的低級漏洞，不禁令人反思。

最近兩天，嘶吼編輯和接近此事的朋友聊天，側面了解到一則關聯的信息泄漏漏洞。由於58同城內部兩個招聘相關模塊缺少溝通，對用戶手機號打碼位置不一致，導致攻擊者只需拼湊下就能得到完整的手機號。

這個漏洞實在太經典，值得專門來探討一番。過去發生過太多類似案例，用戶把個人私密信息交給企業，企業由於產品設計不當過多地展示，讓攻擊者輕易就能獲得這些私密信息。

下邊我們一起進入案例展示時間。

身份證、銀行卡究竟該碼幾位？

身份證號的18位數字是有規則的，它會依次展示公民的所在地省市縣區、出生年月日、性別等信息。許多人可能不清楚，銀行卡號的16位數字也是有規則的。一般前6位數字是卡種信息，比如622848表示農業銀行的金穗通寶銀聯借記卡；接著的6-12位為銀行自定義位，國內大多數銀行會用來表示發卡的城市分行、發卡網點等信息。

要展示身份證沒打碼引發的身份泄漏風險，最佳案例莫過於火車票。2010年推行實名制后，火車票上都會印著購票者的完整身份證號和姓名，票丟了身份證號和姓名也就漏了。由於吐槽太多，鐵道部後來改進，把身份證表示生日的4位數字打碼，但效果只能算聊勝於無。生日最多有366種可能，通過身份證號的驗證位規則嘗試驗證，可以把範圍縮小到幾十種，配合姓名很容易確認。

圖/新華社，鐵道部於2015年推出的新版火車票，身份證碼四位數字，姓名完整顯示

銀行卡號也一樣，打碼過少的話，前六位可以判斷某張卡是否為白金及以上高級卡種，後邊數字可能還能知道是北京海淀中關村分行開的卡。掌握這些信息，做詐騙是不是簡單很多？早期的電商網站盜號者就是這麼乾的。

嘶吼編輯查看個人在用的主流移動端產品，核驗它們對身份證、銀行卡號的隱私保護程度，發現摩拜、ofo內身份證號未予顯示；支付寶、京東錢包、微信錢包、招行掌上生活等幾款做得不錯，只剩第一位、最後一位數字未碼；聯通前四、后四未碼；QQ錢包前六、后二未碼；銀行卡號大多是最後四位未碼，少數前四、后四未碼。

支付產品里購物？鐵定有信息泄漏風險

這是我做這次選題的一個發現。支付產品里有最全的用戶個人資料，包括姓名、電話、身份證、銀行卡號、郵箱等。這些信息一般都被保護得很好，該碼的地方肯定碼了。但如果那款產品可以買東西，我們幾乎都找到了缺口拿到完整信息。

以京東為例，個人中心的身份證號碼得只剩兩位，算保護嚴實吧。但在某些沒留意的小地方，比如「手機卡購買」，用戶以前因為手機卡實名認證填寫過，那麼現在就能看到。

圖/嘶吼，京東App內購買手機卡界面

在支付寶里，手機號是碼了中間四位，脫過敏的。不過在一個五級入口「收貨地址管理編輯」里，明文保存著用戶淘寶上用過的所有收貨地址，姓名、手機號都在。通常來說，支付寶綁定手機也會在裡邊。

圖/嘶吼，支付寶App內收貨地址編輯界面

順便提下，微信錢包的手機充值，可以查看當前微信的綁定手機號（考慮到微信的社交屬性，應用內電話號碼是可見的，這裡也不算什麼了）。

這只是一次不足一小時的小調查，如果大家願意多花點精力，肯定能找到更多。支付產品有嚴格的登錄保護，上述登錄后的信息泄漏風險一般認為危害很小。但支付產品也是盜號頻發地段，一旦被盜號這些都可能成為攻擊者的幫凶，小危害誘發大風險，各家廠商應需嚴謹對待才是。

快遞單上的電信詐騙

在各類電信詐騙當中，快遞單詐騙是其中一項大頭，購買快遞單用作廣告騷擾、精準釣魚，瞄準貨到付款訂單假冒快遞員送貨，專門根據寄卡快遞單整出的信用卡提升額度詐騙等等。

快遞單上未打碼的用戶資料，是構成快遞單騙局的必備信息。過去十餘年裡，快遞行業一直深受其擾，順豐、京東、四通一達莫不如是。只是限於改造成本，快遞單打碼的話快遞員需要一套新的系統來查看用戶信息送貨，難以承擔。

從去年開始，京東、菜鳥網路先後開始試行隱私快遞單，單上的用戶名字、電話號碼會部分打碼，以保護用戶隱私。兩家帶頭企業的舉措，相信會帶動一批跟上來，逐漸成為行業標配。

圖/36kr，京東微笑快遞單，姓名和電話部分用微笑表情替代

圖/36kr，菜鳥網路隱私快遞單，姓名和電話部分用**替代，目前僅菜鳥合作夥伴黃馬甲試運營

尾聲

由58同城的手機號泄漏漏洞開始，我們展開講述了線上線下支付、電商、快遞等產品在個人私密信息保護上的不同程度疏忽，這些疏忽曾或多或少對用戶造成過影響，甚至是傷害。

該如何解決呢？按國內情況，想靠廠商自覺是不太可能，更需要用戶力量來驅動。嘶吼希望大家如果發現類似問題，可以積極向廠商報告，督促修復並公開。一個人很難做到，但成百上千個就很有機會了。

嘶吼編輯@llopppp 對本文亦有貢獻。

本文為嘶吼編輯撰寫，如若轉載，請註明來源於嘶吼：http://www.4hou.com/info/news/4026.html

嘶吼專業版關注公眾號，每日為您帶來最新、最專業的互聯網安全內容