由于一个小功能，我对微信手机号转帐的好感度加了10分

微信支付上线了“手机号转帐”功能，不加好友也能转帐，这就意味着不再能经过微信加好友转帐来套路小姐姐微信了，但你能够经过手机号转帐功能直接找小姑娘要手机号码。

做为一个稍微有点安全意识的用户，我其实比较关注的是，这个新功能会不会泄露用户隐私，好比经过手机号转帐过程当中是否会出现个人真实姓名，它的姓名脱敏是怎么处理的。

一、体验一回微信手机转帐

我找了一位好友帮忙作个简单的功能体验，双方必须都开通手机号转帐功能才可完成转帐操做。在这个转帐支付过程当中，一般会有一个姓名验证的功能用来确认对方身份信息。

 

咱们注意到，微信支付隐藏了姓名的前两位，只显示姓名的最后一个字，它在这里帮助用户隐藏了姓名的前两位，既能知足用户身份验证的需求，同时，提高了对用户隐私的保护。

二、支付宝转帐是什么样子呢

支付宝早在2012年就上线了手机号转帐这一项服务，支付宝在隐私设置能够设置是否向好友公开个人真实姓名。那么若是我开启了向好友公开个人真实姓名，一个陌生人经过手机号码转帐，它能看到个人我的信息吗？

作了一个小测试，能够看到，它只帮助用户隐藏了姓名的第一位，也就是姓氏，后面的名字是直接显示出来的。

这种状况下，已经有了名字，只须要再找到他的姓氏，就能够还原出他的真实姓名。这里只是提供一个思路，仅供参考。

一、在这个转帐界面点击头像是能够直接访问用户我的资料，从这个获取到地区信息，好比福建 福州，这时候就能够去搜索一下福建十大姓氏排名或者福州排名前十的姓氏，经过获取到相关姓氏，来验证用户的真实姓名。固然，这就是几率事件，运气好的话，可能很快就成功啦。若是不行，继续尝试。

 

 

 

二、以百家姓做为破解字典，基本就能够覆盖到全国的姓氏，依排名顺序对每个姓氏作验证。

支付宝的姓名验证机制，对同一个用户一天最多能够验证10次，超过10次，风控系统就会提示“姓名检验失败次数太多，暂不支持姓名检验，请明天再试”。

若是你只是想要知道街上搭讪的小姐姐的真实姓名，找10个好友一块儿验证一下，毕竟人海茫茫，世界上叫张伟的人这么多个，要相信缘分，相信几率。

这就变成一个接口爆破和攻击成本的问题，增长字典，时间和人员投入，爆破成功的概率越大。

固然，纯属我的臆测，并未实操过。若是你是为了找到小姐姐的真名，有这份耐心值，还不如打电话直接问吧。在个人理解里，这只是产品策略的不一样，在用户安全意识缺失的状况下，可能会给用户带来不一样的安全风险。当数据脱敏隐藏的字段，看似毫无关联，但只要输入必定的信息，实际上存在着某种规律可循。若是你对他的籍贯、教育背景和工做经历都很熟悉，用这种方式来验证一下身边的朋友，你会发现一切都很合乎情理之中。

三、手机号脱敏如何处理

手机号码有11位数，你知道，这些数字都表明了什么嘛？

前3位    ——— 网络识别号（联通、电信、移动）

第4-7位  ——— 地区编码（因此把你的号码前7位放就知道哪一个城市）

第8-11位 ——— 用户号码（随机且无心义的数字）

假设，咱们已知某我的的QQ邮箱，经过REG007找到他所注册过哪些网站，找到其中一个有密码重置功能的网站。经过输入用户的QQ邮箱来重置用户密码，在密码重置界面就能够看到手机号码显示为133****XXXX，隐藏了中间4位，来防止隐私泄露。但这种方式，只需输入必要信息，实际上是很容易被破解的。

 

 

 

手机号码隐藏了中间4位，有着10000种数字排序的可能，但只要经过社工等手段来确认手机号主人所在的城市，好比人在福州，利用地区编码，直接缩小范围到86个手机号。而后批量导入社交工具通信录（如QQ/微信/支付宝），可快速定位到你想要找到的人的手机号码。

如今，不少系统其实都已经意识到了这个问题，因此，在手机号脱敏的时候，会显示成133******XX，隐藏了中间6位数字，这是一种提高用户隐私保护的改进。

四、捡到身份证，如何找原主

咱们再来看一个案例，捡到了一张身份证，如何还给原来的主人，这里分享一个思路。

一、打开“我的所得税”App，点击找回密码，进入身份验证界面：

二、根据捡到的身份证信息，填写证件号码和姓名，点击下一步。

三、选择验证方式，经过已绑定的手机号码验证。

四、在这个界面，能够看到系统显示用户的手机号码为133****XXXX，隐藏了中间4位。

如前文描述，隐藏中间的这4位为地区编码，利用身份证上获取的地址信息来缩小范围，导入社交工具通信录，快速定位到原主人的手机号码，联系他把身份证还给他。若是这种方式没找到人，最稳妥的办法是直接把身份证交给警察叔叔。多关注你使用的软件产品，多思考，你会发现不少社交软件的强制关联，在某些特殊场景下，是能够被利用的。技术向善，请不要用你因此为的正义，去社工去跟踪去监控，由于这些作法，早已超过法律边界，触犯了法律法规。

五、关注我的隐私

在支付宝的隐私设置里，我不敢向好友公开个人真实姓名，由于一旦开启这个功能，我怕会有陌生人拿着个人手机号码经过转帐功能来试探个人真实姓名。

微信手机号转帐姓名脱敏多了1位，这一点小小功能的改进，提高了对用户隐私的保护。

社交软件的强制关联，你所使用的应用和设置，致使你的我的隐私正在泄露，你的生活轨迹无所遁形。在网络世界里，你已无处可藏，必定要保护好本身的隐私。

写下这篇文章的同时，我从新检查了一下手机和社交软件的隐私设置，并关闭了部分功能。你呢，不检查一下嘛？

以上，仅做为一个用户，关于我的隐私的一点点忧虑和感想。但愿更多的互联网企业，可以站在用户角度去思考，我的隐私保护问题。