这是一个创建于 2401 天前的主题,其中的信息可能已经有所发展或是发生改变。
相关推文:推特搜 Victor Gevers
 | 1 hilbertz 2019-03-23 13:15:42 +08:00 这很阿里 |
 | 2 nl101531 2019-03-23 13:19:13 +08:00 via iPhone 很大概率是假的... |
 | 3 orangeade 2019-03-23 13:20:02 +08:00 有可能是第三方保存的? |
 | 4 opengps 2019-03-23 13:21:58 +08:00 如果真的早炸锅了 |
 | 5 zxqzw123 2019-03-23 13:22:31 +08:00 假的,这根本就不是这个意思。只是个记录罢了。阴谋论了 |
 | 6 ifxo 2019-03-23 13:23:03 +08:00  1 泄露的多了,只不过没曝光 |
 | 7 580a388da131 2019-03-23 13:29:08 +08:00 via iPhone 3 这个人的有些爆料很奇怪 |
 | 8 Infernalzero 2019-03-23 13:31:51 +08:00 3 看起来是在带节奏,认为支付宝卖用户信息,但是这些信息根本就不能判断支付宝是否卖了用户信息给第三方,截图里根本没看出支付宝那边的信息,这些第三方应用自己也能收集。 顺便楼主也是标题党,截图里也说了是第三方的数据库泄露了,带点脑子的就知道支付宝那些业务怎么可能用 mongodb 来存这些数据 |
 | 9 xiri 2019-03-23 13:31:57 +08:00 via Android 2 怎么又是这个人? 之前说中国社交媒体监控记录泄露的人也是他 |
 | 10 terence4444 2019-03-23 13:35:16 +08:00 via iPhone 上面都不看原文么,他说是支付宝的消费但是从三方数据库泄漏的。 |
| 11 xiri 2019-03-23 13:40:52 +08:00 via Android @xiri 本来说附上他之前发的 twitter 链接的,结果弹出“请不要发布.......”,然后就直接 403 了,无语,,,,, 换了个 ip 才重新上来的,,,,,,, |
 | 12 Quaintjade 2019-03-23 13:43:11 +08:00 1 虽然我经常吐槽阿里 /蚂蚁,但这截图里看不出 ZFB 有什么过错。这些信息不都是用户自己提供给第三方的吗? 估计这人不知道中国各种网站都会问你索要身份证、手机等信息,以为这些信息是 ZFB 泄露给第三方的。 |
 | 13 slowgen 2019-03-23 13:47:25 +08:00 via Android 准备好一千万了吗? |
 | 14 hlwjia PRO 1 首先楼主你先要背锅,你标题党了,或者你没看懂英文。 然后导致很多人也没看英文直接就喷,其实是那些操蛋的第三方。 我觉得阿里应该更好地去审计这些合作方啊,这信息太敏感了,太完整了。 |
 | 15 binaryify OP 1 楼上几个兄弟心这么大的吗,手机身份证淘宝账号都被别人看来看去都觉得没啥,第三方泄露也还是支付宝的数据啊 |
 | 16 catalina 2019-03-23 13:55:09 +08:00 怎么又是这家伙。。。 这家伙是之前踢爆了 SenseNets 人脸识别数据库、多个社交网络(包括 QQ、微信、旺旺等)媒体监视数据库的那个人!!! |
| 17 catalina 2019-03-23 13:55:42 +08:00 |
 | 18 jugelizi 2019-03-23 13:57:54 +08:00 确实 之前挖到一个站务系统里大量订单有 zfb 付款信息 付款账号 手机号什么的 |
 | 20 mewpoi 2019-03-23 14:00:55 +08:00 对接阿里的芝麻信用时候就发现了,获取信息还是比较简单的... |
 | 21 Quaintjade 2019-03-23 14:02:33 +08:00 @binaryify 问题在于这些信息究竟是 ZFB 在交易时返回给第三方的,还是第三方直接从用户取得的。如果是前者,那确实给得太多了;如果是后者,那和 ZFB 没任何关系。 从绑了两个 TB/ZFB 账户来看,信息为第三方直接向用户索取的概率比较高。 不过里面有一条 birth_address 很可能是从身份证照片上来的,那样的话要么网站要求用户上传身份证照片,要么是 ZFB 提供的数据。在不知道这是什么网站之前,很难判断是哪一种。 |
| 22 Quaintjade 2019-03-23 14:05:01 +08:00 @mewpoi 想问下对接芝麻信用能获得哪些字段信息? |
| 23 mewpoi 2019-03-23 14:06:53 +08:00 1 @Quaintjade #22 身份证 手机号 姓名 等等 |
 | 24 huangdayu 2019-03-23 14:10:57 +08:00 这些数据是如何拿到的?对第三方开放这么重要的数据? |
 | 25 feiyuanqiu 2019-03-23 14:12:44 +08:00 via Android 1 bind 的过去时不应该是 bond 么 |
 | 26 guokeke 2019-03-23 14:23:40 +08:00 楼主有没有一千万? |
 | 28 Coey 2019-03-23 14:41:58 +08:00 天天都是 MongoDB 躺枪,笑 |
 | 33 mmdsun 2019-03-23 15:00:25 +08:00 via Android 之前阿里的飞猪就有漏洞,根据手机号码可以查人支付宝真实名字。。所以没有绝对的安全 |
| 36 catalina 2019-03-23 15:18:55 +08:00 |
 | 39 mario85 2019-03-23 15:30:43 +08:00 via iPhone 如何不经过支付宝直接从用户中获得其身份证绑定了几个支付宝? 这可是我自己都不知道的信息 |
 | 40 2589595915 2019-03-23 15:31:38 +08:00 via iPhone 算了,还是懒得说了。整些屁事。 |
 | 44 danmary61 2019-03-23 15:39:04 +08:00 他推特最近挺热,之前有一篇爆的国内女性资料 mongoDB 你们研究了吗?但是有人说是婚恋网站的数据 |
 | 45 batman2010 2019-03-23 15:40:21 +08:00 via Android @binux #42 原推说是阿里卖数据给第三方。 |
 | 46 binux 2019-03-23 15:41:44 +08:00 via Android @batman2010 所以有证据是卖吗? |
| 48 binux 2019-03-23 15:49:05 +08:00 via Android |
| 51 binaryify OP @binux 可能是我没表述清楚吧,我想表达的是为什么阿里要给第三方这么详细的数据,被泄漏是第三方的责任,但是泄漏的信息详细到这种地步阿里不可能没关系,授权登陆或者评估信用需要这么多信息吗 |
| 52 Quaintjade 2019-03-23 16:24:53 +08:00 6 找到接口的来源了: http://openapi-doc.fqgj.net/alipay.html 之前就怀疑拥有这么详细的信息,是不是 p2p 平台,果然猜中了。 所以这些信息并不是阿里 /蚂蚁提供的,而是由网贷信用机构提供的。 |
 | 53 lshero 2019-03-23 16:26:54 +08:00 所以 Mongodb 的安全性应该怎么做呢? |
| 54 binux 2019-03-23 16:28:23 +08:00 |
| 55 Quaintjade 2019-03-23 16:49:42 +08:00 3 @binux 应该是这家:钱粒科技 www.qianli.com.cn openapi-doc.fqgj.net(斜杠)alipay.html 从文档来看,这些数据是由“合作机构”提供给钱粒,而不是很多人以为的 ZFB 提供给商户。 所以现在的问题是:这(些)“合作机构”是谁?他们是如何获取这么详细的 ZFB 交易信息? 往坏的想,可能是 ZFB 有意提供或无意泄露给了这些合作机构。 往好的想,可能这些“合作机构”是网贷公司,用户从他们借贷时需要向他们提供自己的 ZFB 登录信息,这样他们就能直接获取完整的 ZFB 交易流水。这种情况就和 ZFB 没关系了。 我觉得后一种可能性比较高。 |
| 56 binaryify OP @binux 看来还真是借贷公司的锅,中国这互联网环境真的...个人信息满天飞,很难查到源头和追责,很多人也不关心 |
 | 57 Vitameans 2019-03-23 17:02:16 +08:00 via iPhone @feiyuanqiu bind 的过去式和过去分词都是 bound。 |
 | 58 JamesR 2019-03-23 17:11:16 +08:00 期待楼下阿里的人来洗地。 |
 | 59 shadownet 2019-03-23 17:19:50 +08:00 via iPhone @terence4444 不懂英文估计 |
| 60 binux 2019-03-23 17:20:20 +08:00 @Quaintjade 钱粒和这个接口提供方优借就是一家啊 |
 | 61 rockhu 2019-03-23 17:22:03 +08:00 阿里不怎么用 mongoDB 吧,一看就很怀疑。。 |
| 62 Quaintjade 2019-03-23 17:38:46 +08:00 2 @binux 我知道是一家啊。 又看了下流程图,更新了一下理解 http://openapi-doc.fqgj.net/sequencediagramhtml 优借(或者叫分期管家 app )是向用户提供分期的渠道,合作机构则是贷款公司。用户注册优借时会提供各种个人信息,绑定 ZFB、TB、银行卡等信息,所以优借获得了各种信息。 当用户要买东西时,选择优借分期付款,其实就是申请一笔小贷。优借将这笔购物订单信息+用户详细个人信息发给合作机构,合作机构返回是否通过审批,然后处理放款等。 关键就在于信息完全是由用户(借款人)主动提供的,这样的话 ZFB 自然没什么锅。 |
| 63 feiyuanqiu 2019-03-23 18:26:06 +08:00 via Android @Vitameans 是的,回复完就意识到记错了,但 V 站不支持编辑,又懒得再回帖了 |
 | 64 chinvo 2019-03-23 20:06:56 +08:00 @mewpoi #22 不能把,芝麻信用只能商家提交这些资料过去(也就是说商家可以偷偷记录),支付宝那边只返回 pass 之类的状态码 |
| 65 mewpoi 2019-03-23 21:48:47 +08:00 via iPhone @chinvo 本来想说更多,想了想,还是算了,毕竟授权时候已经说明了,而且接入时候也有协议,收集不收集,出了事也不是支付宝方面的问题,其实也出不了什么事,现在哪个行业手头没点… |
 | 66 zhangdawei 2019-03-23 21:56:16 +08:00 呵 |
 | 67 mingyun 2019-03-23 23:08:59 +08:00 mongodb 没密码?不可能吧 |
 | 68 Norie 2019-03-23 23:17:19 +08:00 via Android 营销号 |
 | 69 tailf 2019-03-24 00:05:48 +08:00 这不就是前几天那个北欧脑残吗。。。。。 |
 | 70 stevenhawking 2019-03-24 00:41:39 +08:00 开局一张图... 过程全靠编? 人家都说了是第三方(third-party.) |
 | 71 ZRS 2019-03-24 03:28:51 +08:00 这人的数据都是从网上不加密码的 MongoDB 上拖的... |
 | 72 juded 2019-03-24 10:51:10 +08:00 这个推主吖,总想搞个大新闻。 |
 | 73 run2 2019-03-24 11:18:12 +08:00 大概率只是授权了手机号并且有支付,所以这个调用支付宝的 app 这边的服务器漏了。 而且看图像是自己服务器上存的使用支付宝的交易 log 吧。 |
 | 74 lingaoyi 2019-03-24 11:45:57 +08:00 微信会这样吗? |
 | 75 xcold 2019-03-24 12:03:41 +08:00 假的 |
 | 76 laoyuan 2019-03-24 12:58:20 +08:00 用户自己在 p2p 上填的信息 |
 | 77 Salvation 2019-03-24 13:08:51 +08:00 这种很明显不可能是真的啊。。。。 要不然早就爆炸了。 |
Select Language