提醒:警惕银联云闪付新年红包活动泄露手机号码
中国银联云闪付近期正在开展新年邀请好友抢红包活动,平心而论银联云闪付的红包福利倒是比某宝多得多。
但银联花钱做推广的同时也得考虑分享邀请活动的安全性,像是泄露用户主要手机号码这种事真是没法形容。
已经使用银联云闪付的网友应该都是使用主要手机号注册的,同时多半这些号码也是银行卡的预留手机号码。
且不说预留号码直接泄露到互联网上是否会被别人社工定点爆破,仅仅是公开泄露被短信轰炸概率都会暴增。
银联活动的问题出在哪:
银联云闪付新年邀请活动分享的链接会关联手机号码,银联以手机号码判断新注册用户属于哪个用户邀请的。
最初活动上线时生成的邀请链接直接带有用户完整的手机号码,当然银联还不算傻之后立即将手机号码隐藏。
但是这种隐藏方法也是十分智障的:直接在分享链接里将用户的手机号码通过 BASE64 加密方式进行硬编码。
https://wallet.95516.com/s/wl/webV2/activity/springFestival/invite/html/shareIndex.html?r=MTMz*******A0MTM=&channel=1
在上述示例链接里MTMz*******A0MTM就是银联云闪付直接将用户的手机号码进行 BASE64 编码后的结果。
建议参加活动的用户不要在诸如微博或者其他公开的地方发布链接,如果已经发布了最好尽快将链接删除掉。
假如被人短信轰炸或者电话轰炸那都还算是好事儿,通过手机号码反向查支付宝账号完了社工之类才是大事。