中信银行网银现漏洞:输入任意手机号可知姓名

19.05.2014  20:56

原标题: 中信银行网银现漏洞:输入任意手机号可知姓名

  近日有网友爆料称,用中信银行的网上银行为手机进行充值,在不付费的情况下可以知道机主的名字,导致手机用户隐私被泄露。记者亲自在中信银行网上银行试验发现,输入特定运营商的电话号码后无须充值,页面上即可显示该号码机主的姓名、余额,如果是单位固定电话,还会显示单位全称。中信银行青岛分行网络银行部负责人则认为,银行考虑到显示的只是一个名字,“没有什么大碍”。

   个人姓名单位全称一览无余

  记者根据网友提供的步骤,通过中信银行官网登录到个人网上银行,点击“缴费站”一栏,进入手机缴费页面。然后记者选择了一家电信运营商缴费,在出现的自助缴费页面上输入要充值的手机号码后,出现的页面上除了显示缴费地区、账户金额情况等,还显示了完整的缴费用户名。这些信息,全部是在确认充值之前显示。

  记者又输入了几个朋友的联通手机号码,均显示全名及余额,且全部正确;随意输入陌生号码,也会显示该号码的机主信息;输入单位固定电话,单位名称及话费也一览无余。

  记者发现,可查询到机主姓名及单位全称的仅局限于部分运营商号段。同样在中信银行网上银行充值,移动用户姓名用星号(*)代替,电信用户名一栏直接显示空白。

   中信银行:会考虑协调改进

  中国山东网青岛频道记者就这一问题咨询了中信银行青岛分行网络银行部的张先生,他表示中信银行设置成显示全名的形式是为了让客户确认充值正确,以防充错。“考虑到显示的只是一个名字,并且现在重名的人这么多,没有什么大碍。

  张先生解释,中信与运营商进行缴费合作时,运营商会提供一个标准接口,缴费用户输入手机号,这个接口就会反馈手机用户的信息。中信对这些信息进行屏蔽会有一定的技术难度。