银联云闪付的红包链接居然会泄露你的手机号码! | 夏冰加密软件技术博客
热点关注: 数据加密 文件加密 加密 图像加密 文件夹加密超级大师 加密技术 超级加密3000 图像加密算法 电脑监控专家 U盘超级加密3000 文件加密软件 加密算法 文件夹加密 文件夹加密软件 加密软件

银联云闪付的红包链接居然会泄露你的手机号码!

近几年,移动支付在支付、理财与小额信贷等领域都显示出巨大的发展前景。 2017年底,在中国人民银行的指导下,中国银联携手各大商业银行、支付机构等产业伙伴共同发布了自己的移动端支付入口——银行业统一APP“云闪付”,它有银联的背书、有央行领导的站台,还有各大商业银行的支持。

银联云闪付的红包链接居然会泄露你的手机号码!

按理来说,有了传统金融机构的背书,“云闪付”应该在安全性上更容易让用户信赖。但刚刚诞生没多久的云闪付就暴露出了安全问题:网络上有专业技术人员发现,“云闪付”红包分享链接能还原手机号。

银联云闪付的红包链接居然会泄露你的手机号码!

经过求证,后台的程序员给了几点回复。

1、本次活动初衷是邀请亲友领红包,对于发起人手机号采取了通用的base64编码。经过提醒发现确实本次加密算法等级较低,针对此情况,我们正在组织技术力量全力修复,目前已经完成技术开发,正在紧急测试,预计今日新版本上线后正式生效。

2、本次活动过程中发现部分用户非常热心,主动在论坛等公开渠道发起邀请,因此邀请人发布信息范围内有一定技术能力的陌生网友可能通过技术手段解密手机号。但是链接本身不经过技术处理是无法直接还原手机号的。

3、被解密的内容仅限邀请人的手机号,无法与其他要素匹配,其他信息及被邀请人信息都是安全的。

那声明中“通用的base64编码”是什么?会有哪些后果?现在依然存在这个问题么?

base64是一种解码方式比较简单通用的编码方法,针对它的解码工具比较多,目前就有不少在线解码的网站。

据安全专家透露,如果用户的链接被解码,黑产人员可以获取到手机号,冒充云闪付官方人员实施电信诈骗、冒充官方发送短信给用户,甚至推送山寨云闪付APP等也有可能。常规来讲,在涉及用户隐私信息的交互上,不应该放到链接中,而是应当通过ID、随机串等不可枚举和递归的标记,与后台用户对应,这是相关的研发人员安全意识缺乏导致。

文件夹加密超级大师  手机加密软件misuo U盘移动硬盘加密软件 时间管理软件-时光账本