由於一個小功能，我對微信手機號轉帳的好感度加了10分

微信支付上線了「手機號轉帳」功能，不加好友也能轉帳，這就意味着不再能經過微信加好友轉帳來套路小姐姐微信了，但你能夠經過手機號轉帳功能直接找小姑娘要手機號碼。

做爲一個稍微有點安全意識的用戶，我其實比較關注的是，這個新功能會不會泄露用戶隱私，好比經過手機號轉帳過程當中是否會出現個人真實姓名，它的姓名脫敏是怎麼處理的。

一、體驗一回微信手機轉帳

我找了一位好友幫忙作個簡單的功能體驗，雙方必須都開通手機號轉帳功能纔可完成轉帳操做。在這個轉帳支付過程當中，一般會有一個姓名驗證的功能用來確認對方身份信息。

 

咱們注意到，微信支付隱藏了姓名的前兩位，只顯示姓名的最後一個字，它在這裏幫助用戶隱藏了姓名的前兩位，既能知足用戶身份驗證的需求，同時，提高了對用戶隱私的保護。

二、支付寶轉帳是什麼樣子呢

支付寶早在2012年就上線了手機號轉帳這一項服務，支付寶在隱私設置能夠設置是否向好友公開個人真實姓名。那麼若是我開啓了向好友公開個人真實姓名，一個陌生人經過手機號碼轉帳，它能看到個人我的信息嗎？

作了一個小測試，能夠看到，它只幫助用戶隱藏了姓名的第一位，也就是姓氏，後面的名字是直接顯示出來的。

這種狀況下，已經有了名字，只須要再找到他的姓氏，就能夠還原出他的真實姓名。這裏只是提供一個思路，僅供參考。

一、在這個轉帳界面點擊頭像是能夠直接訪問用戶我的資料，從這個獲取到地區信息，好比福建 福州，這時候就能夠去搜索一下福建十大姓氏排名或者福州排名前十的姓氏，經過獲取到相關姓氏，來驗證用戶的真實姓名。固然，這就是機率事件，運氣好的話，可能很快就成功啦。若是不行，繼續嘗試。

 

 

 

二、以百家姓做爲破解字典，基本就能夠覆蓋到全國的姓氏，依排名順序對每個姓氏作驗證。

支付寶的姓名驗證機制，對同一個用戶一天最多能夠驗證10次，超過10次，風控系統就會提示「姓名檢驗失敗次數太多，暫不支持姓名檢驗，請明天再試」。

若是你只是想要知道街上搭訕的小姐姐的真實姓名，找10個好友一塊兒驗證一下，畢竟人海茫茫，世界上叫張偉的人這麼多個，要相信緣分，相信機率。

這就變成一個接口爆破和攻擊成本的問題，增長字典，時間和人員投入，爆破成功的概率越大。

固然，純屬我的臆測，並未實操過。若是你是爲了找到小姐姐的真名，有這份耐心值，還不如打電話直接問吧。在個人理解裏，這只是產品策略的不一樣，在用戶安全意識缺失的狀況下，可能會給用戶帶來不一樣的安全風險。當數據脫敏隱藏的字段，看似毫無關聯，但只要輸入必定的信息，實際上存在着某種規律可循。若是你對他的籍貫、教育背景和工做經歷都很熟悉，用這種方式來驗證一下身邊的朋友，你會發現一切都很合乎情理之中。

三、手機號脫敏如何處理

手機號碼有11位數，你知道，這些數字都表明了什麼嘛？

前3位    ——— 網絡識別號（聯通、電信、移動）

第4-7位  ——— 地區編碼（因此把你的號碼前7位放就知道哪一個城市）

第8-11位 ——— 用戶號碼（隨機且無心義的數字）

假設，咱們已知某我的的QQ郵箱，經過REG007找到他所註冊過哪些網站，找到其中一個有密碼重置功能的網站。經過輸入用戶的QQ郵箱來重置用戶密碼，在密碼重置界面就能夠看到手機號碼顯示爲133****XXXX，隱藏了中間4位，來防止隱私泄露。但這種方式，只需輸入必要信息，實際上是很容易被破解的。

 

 

 

手機號碼隱藏了中間4位，有着10000種數字排序的可能，但只要經過社工等手段來確認手機號主人所在的城市，好比人在福州，利用地區編碼，直接縮小範圍到86個手機號。而後批量導入社交工具通信錄（如QQ/微信/支付寶），可快速定位到你想要找到的人的手機號碼。

如今，不少系統其實都已經意識到了這個問題，因此，在手機號脫敏的時候，會顯示成133******XX，隱藏了中間6位數字，這是一種提高用戶隱私保護的改進。

四、撿到身份證，如何找原主

咱們再來看一個案例，撿到了一張身份證，如何還給原來的主人，這裏分享一個思路。

一、打開「我的所得稅」App，點擊找回密碼，進入身份驗證界面：

二、根據撿到的身份證信息，填寫證件號碼和姓名，點擊下一步。

三、選擇驗證方式，經過已綁定的手機號碼驗證。

四、在這個界面，能夠看到系統顯示用戶的手機號碼爲133****XXXX，隱藏了中間4位。

如前文描述，隱藏中間的這4位爲地區編碼，利用身份證上獲取的地址信息來縮小範圍，導入社交工具通信錄，快速定位到原主人的手機號碼，聯繫他把身份證還給他。若是這種方式沒找到人，最穩妥的辦法是直接把身份證交給警察叔叔。多關注你使用的軟件產品，多思考，你會發現不少社交軟件的強制關聯，在某些特殊場景下，是能夠被利用的。技術向善，請不要用你因此爲的正義，去社工去跟蹤去監控，由於這些作法，早已超過法律邊界，觸犯了法律法規。

五、關注我的隱私

在支付寶的隱私設置裏，我不敢向好友公開個人真實姓名，由於一旦開啓這個功能，我怕會有陌生人拿着個人手機號碼經過轉帳功能來試探個人真實姓名。

微信手機號轉帳姓名脫敏多了1位，這一點小小功能的改進，提高了對用戶隱私的保護。

社交軟件的強制關聯，你所使用的應用和設置，致使你的我的隱私正在泄露，你的生活軌跡無所遁形。在網絡世界裏，你已無處可藏，必定要保護好本身的隱私。

寫下這篇文章的同時，我從新檢查了一下手機和社交軟件的隱私設置，並關閉了部分功能。你呢，不檢查一下嘛？

以上，僅做爲一個用戶，關於我的隱私的一點點憂慮和感想。但願更多的互聯網企業，可以站在用戶角度去思考，我的隱私保護問題。