提醒:警惕银联云闪付新年红包活动泄露手机号码

中国银联云闪付近期正在开展新年邀请好友抢红包活动,平心而论银联云闪付的红包福利倒是比某宝多得多。

但银联花钱做推广的同时也得考虑分享邀请活动的安全性,像是泄露用户主要手机号码这种事真是没法形容。

已经使用银联云闪付的网友应该都是使用主要手机号注册的,同时多半这些号码也是银行卡的预留手机号码。

且不说预留号码直接泄露到互联网上是否会被别人社工定点爆破,仅仅是公开泄露被短信轰炸概率都会暴增。

银联活动的问题出在哪:

银联云闪付新年邀请活动分享的链接会关联手机号码,银联以手机号码判断新注册用户属于哪个用户邀请的。

最初活动上线时生成的邀请链接直接带有用户完整的手机号码,当然银联还不算傻之后立即将手机号码隐藏。

但是这种隐藏方法也是十分智障的:直接在分享链接里将用户的手机号码通过 BASE64 加密方式进行硬编码。

https://wallet.95516.com/s/wl/webV2/activity/springFestival/invite/html/shareIndex.html?r=MTMz*******A0MTM=&channel=1

在上述示例链接里MTMz*******A0MTM就是银联云闪付直接将用户的手机号码进行 BASE64 编码后的结果。

提醒:警惕银联云闪付新年红包活动泄露手机号码

建议参加活动的用户不要在诸如微博或者其他公开的地方发布链接,如果已经发布了最好尽快将链接删除掉。

假如被人短信轰炸或者电话轰炸那都还算是好事儿,通过手机号码反向查支付宝账号完了社工之类才是大事。

本文来源 V2EX,由 山外的鸭子哥 整理编辑,其版权均为 V2EX 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

评论:

3 条评论,访客:3 条,站长:0 条
  1. foxbreaver
    foxbreaver发布于: 
    Google Chrome 60.0.3112.90 Google Chrome 60.0.3112.90 Windows 7 Windows 7

    鸭子哥,论坛去哪里了 ?

发表评论