中信网银漏洞:输手机号得姓名

发布时间:2014年05月19日         来源:网易

3Gweb_3Gweb服务器

        在中信银行网银上随便输入一个电话号码,即可查知机主相关信息

        近日有网友爆料称,用中信银行的网上银行为手机进行充值,在不付费的情况下可以知道机主的名字,导致手机用户隐私被泄露。记者亲自在中信银行网上银行试验发现,输入特定运营商的电话号码后无须充值,页面上即可显示该号码机主的姓名、余额,如果是单位固定电话,还会显示单位全称。中信银行青岛分行网络银行部负责人则认为,银行考虑到显示的只是一个名字,“没有什么大碍”。

        个人姓名单位全称一览无余

        记者根据网友提供的步骤,通过中信银行官网登录到个人网上银行,点击“缴费站”一栏,进入手机缴费页面。然后记者选择了一家电信运营商缴费,在出现的自助缴费页面上输入要充值的手机号码后,出现的页面上除了显示缴费地区、账户金额情况等,还显示了完整的缴费用户名。这些信息,全部是在确认充值之前显示。

        记者又输入了几个朋友的联通手机号码,均显示全名及余额,且全部正确;随意输入陌生号码,也会显示该号码的机主信息;输入单位固定电话,单位名称及话费也一览无余。

        记者发现,可查询到机主姓名及单位全称的仅局限于部分运营商号段。同样在中信银行网上银行充值,移动用户姓名用星号(*)代替,电信用户名一栏直接显示空白。

        中信银行:会考虑协调改进

        中国山东网青岛频道记者就这一问题咨询了中信银行青岛分行网络银行部的张先生,他表示中信银行设置成显示全名的形式是为了让客户确认充值正确,以防充错。“考虑到显示的只是一个名字,并且现在重名的人这么多,没有什么大碍。”

        张先生解释,中信与运营商进行缴费合作时,运营商会提供一个标准接口,缴费用户输入手机号,这个接口就会反馈手机用户的信息。中信对这些信息进行屏蔽会有一定的技术难度。

        张先生说,运营商有时自己会对信息进行了处理。“之前也接到过移动用户向我们反映说因为不显示姓名,充话费时不能确定自己是否充对了。”

        “但既然有客户觉得显示全名是泄露隐私权,我们会向总行汇报并协调改进,争取研究出一个让大家都满意的方案。”张先生承诺。

        隐私信息处理 不同银行各有办法

        记者尝试了其他几家银行网上银行的话费充值业务,充值步骤都大致相同,但均不存在这样的情况。

        中国农业银行和中国建设银行进行充值时,为免充错,都需要输入两遍相同的手机号,不会显示姓名。而中国银行和中国工商银行输入电话号码后,都只会出现姓名的一部分,其余用星号代替。

        网友看法:容易泄露隐私

        针对此事,记者采访了几位市民。青岛的耿女士认为,如果单纯从充话费来看,显示名字有助于不充错话费。但是另一方面,又让人觉得没有安全感,有暴露别人隐私的嫌疑。“即使查114,也不会查出个人用户的全名;去运营商查询机主信息,也得有合法的手续吧。”

        女士同样觉得,如果只能看见自己的姓名还好,任何人的姓名、余额都能被别人查到,这不能接受。“万一被坏人利用了,那我岂不是很倒霉?”



 

在您的网站
被黑客攻击或
被挂马之前
,

升级换代到 3Gweb®
自我防御

Web
服务器

 


image