[shlug][OT]支付宝实名认证过程安全讨论

[孑影]

不知道要不要加OT，加个不会错。

====

今天发现发现支付宝系统里面我老婆的身份证信息被一个陌生的邮箱号码占用了。

于是去找支付宝客户咨询。

我做的操作记录。

上次老婆换了手机号于是她把淘宝的接收短信手机号码换了，换了以后支付宝开了一个手机号登录，（手机号应该在她使用前有国使用记录），然后前段时间突然支付宝被停了。今天去新注册，发现身份证信息于一个陌生的邮箱帐号关联起来了。身份证信息在支付宝系统被占用。
WTF！！
咨询客服，说我老婆的身份证信息和那个邮箱（支付宝帐号）有过认证。
那个邮箱绝对陌生。
客服解释了支付宝的认证流程：
1、手机短信验证码接收。
2、身份证正反照片，（不知道程序核实还是人工核实）
3、银行打款核实。

问他们怎么通过的身份证认证。他们说你的身份证图片被泄漏了人家从网上或者其他途径获取到了

好吧，我老婆有去过复印店复印过身份证。

然后问怎么通过银行打款认证的。
银行卡是要本人持身份证去办理的。

估计客服也傻了给了一个很机智的回答，支付宝不是银行，不知道银行怎么让他通过的。

WTF!!!
难道有一个人就这么特么无聊，从打印店（或者其他）哪到一个身份证信息，然后去骗过漂亮的柜台在银行用这个身份证信息开一个银行账户，然后特无聊的去开了一个支付宝，然后在通过了支付宝的实名制认证
！！！

仔细想想险些就被那个机智的客服给骗过去了。

google图片search 身份证关键字，基本上清晰的身份证图片一张一张的。所以说身份证信息泄漏是很严重的一个情况了，泄漏出去的身份证信息，怎么能这样轻易的通过支付宝的安全认证系统呢



#风起看云涌，叶落品人生#

[Yang Fan]

有的商家为了增加客户……

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---
您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”论坛。
要退订此论坛并停止接收此论坛的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问 https://groups.google.com/d/optout。

--

Regards,

Fan Yang

[孑影]

不可能把，这样太坑了把
#风起看云涌，叶落品人生#

> 您收到此邮件是因为您订阅了Google网上论坛中的“Shanghai Linux User Group”论坛。

[Shell Xu]

如果这个账号用于诈骗，你老婆会被告么？

from nexus 4

[孑影]

不知道，问题是淘宝好像没法申请删除这个资料，不知道能不能通过报警去删除，

这个事情怎么报警，打110 ，还是要去杭州报警 ？
#风起看云涌，叶落品人生#

> 您收到此邮件是因为您订阅了Google网上论坛中的“Shanghai Linux User Group”论坛。

[beck917]

支付宝算好的

像携程,美团这种网站,如果你换了手机号,老的手机号被别人买到,别人就可以直接用你的帐号,这不是扯淡吗

在 2014年8月1日 下午5:11，Shell Xu <shell...@gmail.com>写道：

您收到此邮件是因为您订阅了Google网上论坛中的“Shanghai Linux User Group”论坛。

[孑影]

用手机做帐号，感觉各种不安全，而且还泄漏隐私
#风起看云涌，叶落品人生#

[Chaos Eternal]

完全没看懂，是我脑残了么？
1. 你的损失到底有哪些？

看起来就是你的身份证被人冒用了。

2. 支付宝的漏洞到底是什么？

看起来就是没有核实身份证是不是本人的。关联银行卡只是为了证明你对这个银行卡有操作权限，并不能证明这个银行卡跟这个身份证有关联啊。

3. 你觉得这个漏洞应该怎么补？

你没说。

4. 你有没有采取措施？

也没有说。


还有，关手机什么事？是因为改了手机号码就不能用了么？当初开帐号的时候难道就没有输入身份证信息么？


说实在的，没弄明白到底发生了神马

2014-08-01 15:51 GMT+08:00 孑影 <yhsp...@gmail.com>:

[依云]

On Fri, Aug 01, 2014 at 05:29:23PM +0800, 孑影 wrote:
> 用手机做帐号，感觉各种不安全，而且还泄漏隐私
> #风起看云涌，叶落品人生#

我也感觉用手机号做用户名名太泄漏隐私了。解绑好像还挺麻烦的，我明天再看看。

话说我一朋友手机号被错误地注销了，因此损失了一个 Google 帐户呢（他用了两
步认证，然后异地登录，没办法认证了 -_-|||

--
Best regards,
lilydjwg

Linux Vim Python 我的博客:
http://lilydjwg.is-programmer.com/
--
A: Because it obfuscates the reading.
Q: Why is top posting so bad?

[Shell Xu]

关键是把身份这么一个不变的东西绑在手机号这么一个没准就变的东西上面。。。

在 2014年8月1日 下午5:26，beck917 <bec...@gmail.com>写道：

--

彼節者有間，而刀刃者無厚；以無厚入有間，恢恢乎其於游刃必有餘地矣。
blog: http://shell909090.org/blog/

twitter: @shell909090
about.me: http://about.me/shell909090

[孑影]

损失： 原来支付宝里面的几十块钱被冻了不知道算不算损失

目前来说不知道有没有损失

2- 支付宝的漏洞
我不知道那个身份证为什么会被关联到别人的信息。感觉不像被人被人冒用了，若是不是被冒用那为什么会被关联到别人的邮箱，这个算不算漏洞 ？

3-漏洞怎么修
喵，做为用户，还能怎么修，你能不用支付宝吗 ？ 然后去用巨难用网银 ？

4-采取措施
支付宝客服说要查明这个问题，只能通过立案让一个杭州的网警来处理
喵，怎么立案我也不知道。





#风起看云涌，叶落品人生#

[Shell Xu]

最简单的方法就是打他客服，说我现在有这个身份证的全套证明，现在要求解绑。他说不行你说要向上反应。再不行再向上反映。再不行打12315找消协。这点事构不成实际利益冲突，总有一层能把事给你办了的。

要是这招不行，就比较麻烦了。

你要不怕事的，把你打电话反映的过程都录下来，就不理他。出事了往淘宝一扔，然后听天由命。反正做的再多，不碰到问题的概率也没降低多少。

要是怕出事的，就直接问问律师。

个人的馊主意是先把阿里巴巴给告了，说他伪造身份信息。只要你过的去法院这关，他百分百应诉而且寻求调解。完了你提说把这帐号解绑了咱该干嘛干嘛去，阿里巴巴不会把这官司跟你打到底的。真打上去你一找媒体他就被动了。

只是我怀疑以现在他的投资方，你这官司过不过的去法院这关就不好说了。。。

[孑影]

若是他系统bug，导致那个身份证信息，和其他人的邮箱给关联起来了，对于个人来说那个是多么愉快的事情啊。

若真如他那样 有人拿到了泄漏的身份证信息，伪造了银行卡，注册了支付宝，通过了实名制认证，那太可怕了。


#风起看云涌，叶落品人生#

[孑影]

关手机什么事情

出现这个问题是因为那个支付宝帐号换过一次手机号，然后使用了手机号作为帐号。后面帐号被禁用了就有了这些事情。
#风起看云涌，叶落品人生#

在 2014年8月1日 下午6:01，Chaos Eternal <chaose...@shlug.org> 写道：

[Zhao Quan]

mark

[liyaoshi]

个人感觉洗钱账户用，到时候这个账户买点卡，卖点卡，买Q币，卖Q币

您收到此邮件是因为您订阅了Google网上论坛中的“Shanghai Linux User Group”论坛。