上周五58同城被爆简历数据泄漏，有淘宝店家正在贩卖，只需700元就可购买软件采集全国用户的简历信息，包括姓名、手机、年龄、求职方向、期望月薪、工作经验、居住地、学历等。

招聘行业一直是信息泄漏高风险区，58同城此次事件也印证了这点。但略难堪的是，2016年初开始传播、持续一年多时间的成规模简历泄漏，只是因为几个接口设计不当的低级漏洞，不禁令人反思。

最近两天，嘶吼编辑和接近此事的朋友聊天，侧面了解到一则关联的信息泄漏漏洞。由于58同城内部两个招聘相关模块缺少沟通，对用户手机号打码位置不一致，导致攻击者只需拼凑下就能得到完整的手机号。

这个漏洞实在太经典，值得专门来探讨一番。过去发生过太多类似案例，用户把个人私密信息交给企业，企业由于产品设计不当过多地展示，让攻击者轻易就能获得这些私密信息。

下边我们一起进入案例展示时间。

身份证、银行卡究竟该码几位？

身份证号的18位数字是有规则的，它会依次展示公民的所在地省市县区、出生年月日、性别等信息。许多人可能不清楚，银行卡号的16位数字也是有规则的。一般前6位数字是卡种信息，比如622848表示农业银行的金穗通宝银联借记卡；接着的6-12位为银行自定义位，国内大多数银行会用来表示发卡的城市分行、发卡网点等信息。

要展示身份证没打码引发的身份泄漏风险，最佳案例莫过于火车票。2010年推行实名制后，火车票上都会印着购票者的完整身份证号和姓名，票丢了身份证号和姓名也就漏了。由于吐槽太多，铁道部后来改进，把身份证表示生日的4位数字打码，但效果只能算聊胜于无。生日最多有366种可能，通过身份证号的验证位规则尝试验证，可以把范围缩小到几十种，配合姓名很容易确认。

图/新华社，铁道部于2015年推出的新版火车票，身份证码四位数字，姓名完整显示

银行卡号也一样，打码过少的话，前六位可以判断某张卡是否为白金及以上高级卡种，后边数字可能还能知道是北京海淀中关村分行开的卡。掌握这些信息，做诈骗是不是简单很多？早期的电商网站盗号者就是这么干的。

嘶吼编辑查看个人在用的主流移动端产品，核验它们对身份证、银行卡号的隐私保护程度，发现摩拜、ofo内身份证号未予显示；支付宝、京东钱包、微信钱包、招行掌上生活等几款做得不错，只剩第一位、最后一位数字未码；中国联通前四、后四未码；QQ钱包前六、后二未码；银行卡号大多是最后四位未码，少数前四、后四未码。

支付产品里购物？铁定有信息泄漏风险

这是我做这次选题的一个发现。支付产品里有最全的用户个人资料，包括姓名、电话、身份证、银行卡号、邮箱等。这些信息一般都被保护得很好，该码的地方肯定码了。但如果那款产品可以买东西，我们几乎都找到了缺口拿到完整信息。

以京东为例，个人中心的身份证号码得只剩两位，算保护严实吧。但在某些没留意的小地方，比如“手机卡购买”，用户以前因为手机卡实名认证填写过，那么现在就能看到。

图/嘶吼，京东App内购买手机卡界面

在支付宝里，手机号是码了中间四位，脱过敏的。不过在一个五级入口“收货地址管理编辑”里，明文保存着用户淘宝上用过的所有收货地址，姓名、手机号都在。通常来说，支付宝绑定手机也会在里边。

图/嘶吼，支付宝App内收货地址编辑界面

顺便提下，微信钱包的手机充值，可以查看当前微信的绑定手机号（考虑到微信的社交属性，应用内电话号码是可见的，这里也不算什么了）。

这只是一次不足一小时的小调查，如果大家愿意多花点精力，肯定能找到更多。支付产品有严格的登录保护，上述登录后的信息泄漏风险一般认为危害很小。但支付产品也是盗号频发地段，一旦被盗号这些都可能成为攻击者的帮凶，小危害诱发大风险，各家厂商应需严谨对待才是。

快递单上的电信诈骗

在各类电信诈骗当中，快递单诈骗是其中一项大头，购买快递单用作广告骚扰、精准钓鱼，瞄准货到付款订单假冒快递员送货，专门根据寄卡快递单整出的信用卡提升额度诈骗等等。

快递单上未打码的用户资料，是构成快递单骗局的必备信息。过去十余年里，快递行业一直深受其扰，顺丰、京东、四通一达莫不如是。只是限于改造成本，快递单打码的话快递员需要一套新的系统来查看用户信息送货，难以承担。

从去年开始，京东、菜鸟网络先后开始试行隐私快递单，单上的用户名字、电话号码会部分打码，以保护用户隐私。两家带头企业的举措，相信会带动一批跟上来，逐渐成为行业标配。

图/36kr，京东微笑快递单，姓名和电话部分用微笑表情替代

图/36kr，菜鸟网络隐私快递单，姓名和电话部分用**替代，目前仅菜鸟合作伙伴黄马甲试运营

尾声

由58同城的手机号泄漏漏洞开始，我们展开讲述了线上线下支付、电商、快递等产品在个人私密信息保护上的不同程度疏忽，这些疏忽曾或多或少对用户造成过影响，甚至是伤害。

该如何解决呢？按国内情况，想靠厂商自觉是不太可能，更需要用户力量来驱动。嘶吼希望大家如果发现类似问题，可以积极向厂商报告，督促修复并公开。一个人很难做到，但成百上千个就很有机会了。

嘶吼编辑@llopppp 对本文亦有贡献。