去年给各家云服务商网站做了个检查,发现他们只给前端页面展示的个人信息脱敏,网站 AJAX API 的就完全是明文。比如手机号在网页显示 138****1234,实际上在 API 返回数据里有完整手机号。
我当时看到每家都这样暴露用户注册邮箱、手机号、姓名、身份证号等,想着只要我的浏览器不装不靠谱的扩展,应该问题也不大。
过年一年了今天突然想起,又去各大家网站检查了一下,发现居然只有阿里云进行了改进,其他家只改进个别接口?而且发现 @腾讯云 不仅暴露前端需要的信息,居然连前端完全不需要的认证银行卡信息也暴露了?
我没有开玩笑,以下列几个接口,大家可以自行查证:
几乎每家都有暴露实名认证的姓名和身份证后 4 位。
腾讯云接口 /cgi/login?action=checkLogin 返回的 data.ownerInfo.passedBankInfo 里有认证用的银行卡信息(包括银行名、姓名、卡号、开户行),认证通过以后前端都没有银行卡展示了,完全用不着的东西不读取不行吗?你读取了还要完整返回,这是想干嘛?故意留个口子给恶意扩展读取用户信息?
又拍云控制台前端隐藏了手机号中间几位,然而接口 /accounts/profile/ 返回的是完整手机号。想要明文展示你就明文展示,何必做这种自欺欺人的行为呢?我没有实名认证,我要实名认证了怕是也在 /api/accounts/certificate/ 返回我完整的认证信息吧?
七牛云前端也隐藏了手机号中间几位,请求接口 /api/gaea/user/overview 返回的也是完整手机号。
我说各家云,你们要像青云那样完整读取了也在网站完整展示,我好歹知道其中风险。你们完整读取了,却装模做样已经脱敏,在前端按脱敏格式显示,绿茶婊行为吗?
请各家云内部人员或同事看到了,反馈上去,尽快修改。你们这样使用用户个人信息肯定是不合规的
1
Select Language