横跨数月发现苏宁App泄露用户完整手机号事件_原创

横跨数月发现苏宁App泄露用户完整手机号事件

iArter 2020-02-01 13:00

前言：这是一篇有争议的文章，但相关问题早已告知苏宁，却仍未改动，所以在这特殊时期选择发在相对公正的新浪众测平台告知大家。这问题其实存在很久了，也有很多用户看到却没留意到这是侵犯用户隐私的行为。

横跨数月发现苏宁APP泄露用户完整手机号事件_新浪众测

提起自营类为主的电商企业，很多人首先会想到京东与苏宁，即便我最近一个月投诉京东多次，但总体依然是数一数二的级别。而苏宁，仿佛是京东的跟随者，如果说京东是一个纯正的互联网企业，那么苏宁依然是一个披着互联网外衣的传统零售企业，其线上营销与活动形式依然在模仿京东，却不得精髓，并且App的交互细节体验方面依然差距明显。比如这次说的是签到环节，相对于京东的签到领京豆活动，苏宁签到领云钻界面的页面架构执行效率底下，部分返回逻辑有问题，完全没法和其他电商签到活动页面比较，但这都不是本文吐槽重点。本次说的是苏宁产品开发环节的安全疏漏问题，涉嫌泄露传播其他苏宁用户完整手机号的隐私问题。为了严谨。前后经历了四五个月的不间断证据搜集，中途两次告知苏宁均未及时处理，才出了这篇文章警示大家注意。

横跨数月发现苏宁APP泄露用户完整手机号事件_新浪众测

具体页面：打开苏宁App，点击首页/签到有礼或者我的/领云钻，进入云钻魔法狮这个签到页面，然后点击偷云钻，点击进入偷附近的人页面，正常来说这些页面顶部状态栏会有2种情况，一种是标准中文昵称，另一种是打星号的手机号昵称。但问题是，当每天这么操作多次，就有一定概率出现其他用户的完整手机号。最初发现于2019年9月左右。

横跨数月发现苏宁APP泄露用户完整手机号事件_新浪众测

为了证明该问题可复现，在9月后每天都开始进入这个“偷附近的人云钻”活动页面，经过1个多月就攒了一堆显示其他用户完整手机号的截图，如上，这还是一小部分(里面手机号的个位数打码是我后期遮挡，照顾用户隐私)。

横跨数月发现苏宁APP泄露用户完整手机号事件_新浪众测

经过继续测试分析，我把这个签到页面他人昵称显示分为4类。第一类就是标准不打星处理的中英文昵称、第二类是获取到用户名称是完整手机号的会自动打星处理，这两类处理没任何问题。

横跨数月发现苏宁APP泄露用户完整手机号事件_新浪众测

第三类是中英文昵称带有手机号的不打星号处理，第四类似乎是未获取到真是昵称，直接加载了完整手机号和用户ID特征码，问题就是这两类。推测这两种是不同时期或者是第三方账号登陆导致的账号名和用户特征码获取方式不同导致。并且在wifi和流量下均能浮现，也基本可以排除网络问题导致的打码昵称加载失败。但话说回来，即便是网络问题导致的加载BUG，这也不应该出现这么久不修复，不像一家大企业水准。

横跨数月发现苏宁APP泄露用户完整手机号事件_新浪众测

既然我在签到页面能看到其他用户的完整手机号，难保其他用户也能看到我和别人的完整手机号，想想还是发博告知下苏宁和朋友，苏宁客服答复的原话是“亲爱哒，感谢您真诚的给我们提出的宝贵建议，小苏已认真记录下来并将反馈至优化部门，努力让您有一个更舒心、更贴心、更放心的体验平台~”直觉告诉我，这是机器人自动回复的套话。

横跨数月发现苏宁APP泄露用户完整手机号事件_新浪众测

所以我并未放弃每天的打开测试，一直截止到19年12月，问题依旧，这次更愤怒的发微博并@苏宁质问，这次苏宁客服居然还问到底出什么问题了，难道这个泄露隐私的行为就不是事儿？

横跨数月发现苏宁APP泄露用户完整手机号事件_新浪众测

对此处理表示遗憾之余，也来替苏宁总结下是哪几个原因导致？开发没考虑不同场景下的访问请求，导致未成功加载打星号的昵称，直接显示出带完整手机号码的原始昵称或者其他方式登陆关联的带手机号的账号编码。测试也未仔细测试这个细节。当然也有可能是对应的产品经理只考虑了标准注册流程产生账号的打星需求，没有考虑到微信/QQ/支付宝等第三方登录关联的账号带来的ID信息的打星需求。

横跨数月发现苏宁APP泄露用户完整手机号事件_新浪众测

如果说之前我还在为苏宁的相关人员考虑问题出现这问题的原因，那现在我是彻底失望了，这几天在苏宁App的直播板块里，发现新进入直播间的观众也有一定概率出现这种完整手机号的用户账户名。我不知道还有哪些板块也会完整显示出用户手机号来，显然，苏宁相关人员对用户隐私置若罔闻，项目组的产品经理/测试/开发负责人都应该对这个用户隐私泄露事件负有主要责任！

横跨数月发现苏宁APP泄露用户完整手机号事件_新浪众测

除了产品研发需要背下这口锅外，苏宁的客服等部门还有一口锅，就是不作为。而苏宁在我19年10月时候发微博说这事后，说已经认真记录下来并将反馈至优化部门，到了12月底依然未改，二发微博，客服依然不主动跟进，到如今2020年1月31日依然能测出这个问题，所以也才有了这次发详细文章。

横跨数月发现苏宁APP泄露用户完整手机号事件_新浪众测

恰巧前几天苏宁发了个系统短信给我，提醒我的Super会员了快要到期。正好，我也不会继续续费苏宁Super会员了，在我能看到其他用户手机号的同时，难保其他用户同样能够看到我的完整手机号。本文发出来的目的也是希望有苏宁账号的用户注意了，虽然频率低于以往，但依然没修复，也好奇到底什么时候能够彻底修复这个泄露用户手机号的BUG。又联想到最近的口罩销售事件，你们再这样不顾用户隐私和体验，继续我行我素下去，是会造成难以挽回的信任危机的！

（声明: 本文著作权归作者本人和新浪众测共同所有，未经许可不得转载。本文仅代表作者观点，不代表新浪众测立场。）

0 0

一直申请不到试用资格？

投稿优质的原创内容会增加试用机会哦~

去投稿