支付宝数据库泄露?

这很阿里

很大概率是假的...

有可能是第三方保存的？

如果真的早炸锅了

假的，这根本就不是这个意思。只是个记录罢了。阴谋论了

泄露的多了，只不过没曝光

这个人的有些爆料很奇怪

看起来是在带节奏，认为支付宝卖用户信息，但是这些信息根本就不能判断支付宝是否卖了用户信息给第三方，截图里根本没看出支付宝那边的信息，这些第三方应用自己也能收集。
顺便楼主也是标题党，截图里也说了是第三方的数据库泄露了，带点脑子的就知道支付宝那些业务怎么可能用 mongodb 来存这些数据

怎么又是这个人？
之前说中国社交媒体监控记录泄露的人也是他

上面都不看原文么，他说是支付宝的消费但是从三方数据库泄漏的。

@xiri 本来说附上他之前发的 twitter 链接的，结果弹出“请不要发布.......”，然后就直接 403 了，无语，，，，，
换了个 ip 才重新上来的，，，，，，，

虽然我经常吐槽阿里 /蚂蚁，但这截图里看不出 ZFB 有什么过错。这些信息不都是用户自己提供给第三方的吗？
估计这人不知道中国各种网站都会问你索要身份证、手机等信息，以为这些信息是 ZFB 泄露给第三方的。

准备好一千万了吗？

首先楼主你先要背锅，你标题党了，或者你没看懂英文。

然后导致很多人也没看英文直接就喷，其实是那些操蛋的第三方。

我觉得阿里应该更好地去审计这些合作方啊，这信息太敏感了，太完整了。

楼上几个兄弟心这么大的吗,手机身份证淘宝账号都被别人看来看去都觉得没啥,第三方泄露也还是支付宝的数据啊

怎么又是这家伙。。。
这家伙是之前踢爆了 SenseNets 人脸识别数据库、多个社交网络（包括 QQ、微信、旺旺等）媒体监视数据库的那个人！！！

社交媒体监视数据库的缓存链接，源链接已无法访问。
http://cncc.bingj.com/cache.aspx?q=victor+gevers+qq&d=4708488629197995&mkt=zh-CN&setlang=zh-CN&w=IowZA7UhdpNdLENwo7EihzDj5_g2H8le

确实 之前挖到一个站务系统里大量订单有 zfb 付款信息 付款账号 手机号什么的

@catalina 那个人本身就是研究漏洞的黑客来的

对接阿里的芝麻信用时候就发现了，获取信息还是比较简单的...

@binaryify
问题在于这些信息究竟是 ZFB 在交易时返回给第三方的，还是第三方直接从用户取得的。如果是前者，那确实给得太多了；如果是后者，那和 ZFB 没任何关系。

从绑了两个 TB/ZFB 账户来看，信息为第三方直接向用户索取的概率比较高。
不过里面有一条 birth_address 很可能是从身份证照片上来的，那样的话要么网站要求用户上传身份证照片，要么是 ZFB 提供的数据。在不知道这是什么网站之前，很难判断是哪一种。

@mewpoi
想问下对接芝麻信用能获得哪些字段信息？

@Quaintjade #22 身份证 手机号 姓名 等等

这些数据是如何拿到的？对第三方开放这么重要的数据？

bind 的过去时不应该是 bond 么

楼主有没有一千万?

@guokeke 你是觉得那里面的信息没有你?

天天都是 MongoDB 躺枪,笑

@binaryify 你是觉得那里面的信息有你？

@Coey 这黑客专门碰瓷 MongoDB - -#

@guokeke 你的心真大,佩服

@binaryify 不是我心大，是你心大，你有确定的证据是阿里泄露的吗？这么快就忘了 1 千万事件了？

之前阿里的飞猪就有漏洞，根据手机号码可以查人支付宝真实名字。。所以没有绝对的安全

@crab
MongoDB 风评被害

@guokeke 第三方从支付宝那里拿到的信息被泄漏出去就不是你的信息了吗,除非你没用过支付宝吧

@binaryify 对啊，ethical hacker

顺带，这货还把克里姆林宫的后门账号踢爆了，搜索 [email protected] 可得
太爽了 wwwwwwww

@binaryify 我的意思是，你不怕阿里找你麻烦吗？

@binaryify 你确定我不用第三方，第三方也能从支付宝拿到信息？

如何不经过支付宝直接从用户中获得其身份证绑定了几个支付宝？
这可是我自己都不知道的信息

算了，还是懒得说了。整些屁事。

@binux 所以别人能拿到我们的支付信息和个人隐私你觉得没问题?

@binaryify 我不用这个第三方就没问题啊

@xiri #9 网吧监控可是实事实

他推特最近挺热，之前有一篇爆的国内女性资料 mongoDB 你们研究了吗？但是有人说是婚恋网站的数据

@binux #42 原推说是阿里卖数据给第三方。

@batman2010 所以有证据是卖吗？

@binux 你怎么就知道你没用过这个第三方,阿里系很多软件吧,点个外卖就会涉及

@binaryify 首先，我不认为通过支付宝和第三方交易，第三方能拿到身份证号级别的数据。
其次，我只用支付宝进行付款交易。
完。

@binux 绑定的支付宝和淘宝账号第三方也没那么容易拿到的吧,你觉得第三方能随便采集到吗

@binaryify 那你觉得第三方能采集到任意一个人，即使和他没授权关系的人的支付宝账号吗？

@binux 可能是我没表述清楚吧,我想表达的是为什么阿里要给第三方这么详细的数据,被泄漏是第三方的责任,但是泄漏的信息详细到这种地步阿里不可能没关系,授权登陆或者评估信用需要这么多信息吗

所以 Mongodb 的安全性应该怎么做呢？

@binaryify #51 因为阿里并没有给第三方这么详细的数据
这些数据是来自借贷公司，Victor Gevers 的指控也只是卖了交易数据。

@binux
应该是这家：钱粒科技
www.qianli.com.cn
openapi-doc.fqgj.net(斜杠)alipay.html

从文档来看，这些数据是由“合作机构”提供给钱粒，而不是很多人以为的 ZFB 提供给商户。
所以现在的问题是：这(些)“合作机构”是谁？他们是如何获取这么详细的 ZFB 交易信息？

往坏的想，可能是 ZFB 有意提供或无意泄露给了这些合作机构。
往好的想，可能这些“合作机构”是网贷公司，用户从他们借贷时需要向他们提供自己的 ZFB 登录信息，这样他们就能直接获取完整的 ZFB 交易流水。这种情况就和 ZFB 没关系了。
我觉得后一种可能性比较高。

@binux 看来还真是借贷公司的锅,中国这互联网环境真的...个人信息满天飞,很难查到源头和追责,很多人也不关心

@feiyuanqiu bind 的过去式和过去分词都是 bound。

期待楼下阿里的人来洗地。

@terence4444 不懂英文估计

@Quaintjade 钱粒和这个接口提供方优借就是一家啊

阿里不怎么用 mongoDB 吧，一看就很怀疑。。

@binux
我知道是一家啊。

又看了下流程图，更新了一下理解
http://openapi-doc.fqgj.net/sequencediagram.html
优借（或者叫分期管家 app ）是向用户提供分期的渠道，合作机构则是贷款公司。用户注册优借时会提供各种个人信息，绑定 ZFB、TB、银行卡等信息，所以优借获得了各种信息。
当用户要买东西时，选择优借分期付款，其实就是申请一笔小贷。优借将这笔购物订单信息+用户详细个人信息发给合作机构，合作机构返回是否通过审批，然后处理放款等。

关键就在于信息完全是由用户（借款人）主动提供的，这样的话 ZFB 自然没什么锅。

@Vitameans 是的，回复完就意识到记错了，但 V 站不支持编辑，又懒得再回帖了

@mewpoi #22 不能把，芝麻信用只能商家提交这些资料过去（也就是说商家可以偷偷记录），支付宝那边只返回 pass 之类的状态码

@chinvo 本来想说更多，想了想，还是算了，毕竟授权时候已经说明了，而且接入时候也有协议，收集不收集，出了事也不是支付宝方面的问题，其实也出不了什么事，现在哪个行业手头没点…

呵

mongodb 没密码？不可能吧

营销号

这不就是前几天那个北欧脑残吗。。。。。

开局一张图... 过程全靠编?
人家都说了是第三方(third-party.)

这人的数据都是从网上不加密码的 MongoDB 上拖的...

这个推主吖，总想搞个大新闻。

大概率只是授权了手机号并且有支付，所以这个调用支付宝的 app 这边的服务器漏了。 而且看图像是自己服务器上存的使用支付宝的交易 log 吧。

微信会这样吗？

假的

用户自己在 p2p 上填的信息

这种很明显不可能是真的啊。。。。

要不然早就爆炸了。

@tailf 啧 我看你这回复更