专栏名称: 鲸犀
「宅客」是雷锋网旗下业界报道公众号。专注先锋科技领域,讲述黑客背后的故事。技术永无止境,未知值得好奇。
目录
相关文章推荐
九龙微观  ·  难得一见!“捕鱼捕到一艘美军核潜艇” ·  3 天前  
解放军报  ·  习近平同秘鲁总统博鲁阿尔特举行会谈 ·  4 天前  
九龙微观  ·  “天花板”级别,首次亮相! ·  1 周前  
51好读  ›  专栏  ›  鲸犀

“支付宝年度账单”有“授权漏洞”?对默认勾选你可长点心!

鲸犀  · 公众号  ·  · 2018-01-04 19:44

正文

晒18、晒歌单、晒账单……元旦前后,大家纷纷以这样的方式来对过去的自己做总结。有人调侃,一不小心就打开了某人的相亲文件夹,分分钟暴露你的颜值、品味、收入~

比如,这位经常吃烧饼还非要晒出来的济南汉子,烧饼到底是有多好吃?你真是不想找女朋友了吗?


律师:账单存在“授权漏洞”  支付宝:我错了

在骚动的朋友圈背后,微博有位名叫“岳屾山”的律师冷静地指出了其中存在的“授权漏洞”。

他在微博中明确指出以下三点:

· 这个账单的查看和《芝麻服务协议》没有关联性,所以你选择取消同意,依然能够看到年度账单。但如果你没注意到,就会直接同意这个协议,允许支付宝收集你的信息包括在第三方保存的信息。

· 根据《消费者权益保护法》,消费者有选择权,而不是商家替消费者选择。或许“芝麻”会说,你可以选择不同意,可是“芝麻”你偷偷摸摸的帮我选好了“同意”,还那么小的字,稍不留神就漏掉了,唬谁呢?

· 根据《互联网交易管理办法》的规定,经营者应当采用显著的方式提请消费者注意与消费者有重大利害关系的条款。

这条微博一经发出,迅速引发关注,当晚 23 点,芝麻信用团队针对此事也发出声明,承认错误,并取消了默认勾选。对于已经勾选了的用户,可以在【支付宝客户端-我的-芝麻信用-信用管理-授权管理】中找到“支付宝”的这个选项,取消授权。


半年前,花呗被质疑过度获取用户信息

其实,有关支付宝的“授权漏洞”,可以追寻到半年前的“花呗”事件。

2017 年 6 月30日,“蚂蚁花呗”宣布改名为“花呗”,并更新了用户服务合同。新合同规定,用户同意并授权花呗收集户籍信息、社保参保状态、公积金缴费情况、通话记录等个人数据。

此举引起了网友热议,有人称“吓得赶紧关闭了花呗”。

针对质疑,7月3日,花呗修改了服务合同,之后在官方微博回应,通过采集用户信息降低风险系行业的常规手法,并称实际采集的信息范围远小于此。

当时,就有来自南都的报道指出,较此前版本,最新服务合同表述相对笼统。

比如,6月30日生效版本的4.2.9条详细列出收集信息类型为“社保参保状态、缴费额度、缴费年限、缴费单位等”,而现有版本的4.1.5条则用“社保信息”概括。

在新版本中,花呗没有再提及旧版中需要收集的用户财产信息、户籍信息和通话信息等,并在第四条“信息收集、使用、共享”的开头写道:“请您理解,如果不收集您的一些必要信息,服务商将无法客观判断您的履约能力和意愿,也无法履行法律或监管要求服务商必须履行的一些法定义务。”

一天后,也就是7月4日,花呗官方就此事作出长文回应。

法律规定,搜集信息要遵循必要性原则

根据6月1日施行的《网络安全法》规定,收集和使用个人信息需要遵守合法、正当、必要性原则。其中必要性原则是指,收集个人信息与所要提供的服务相关,或是为了改进服务。

那此次芝麻信用是不是违法了?

虽然岳屾山律师指出,不授权依然可以查看年度账单,但宅客频道发现,不授权对于账单中信用免押金的这部分内容,不能查看。所以,也不能说其所搜集的个人信息与所提供的服务无关。

但是,岳屾山微博中所指出的这点,也许应当引起我们的注意。

根据《互联网交易管理办法》的规定,对于信息收集,要求经营者需要明示收集、使用信息的目的、方式和范围,并经被收集者同意。而“芝麻”这个根本不给你了解条款的机会,直接让你默认同意,稍不注意就进坑了。

在微博的评论中,也有网友指出:芝麻信用本来就是支付宝的,授权支付宝有什么问题?

岳屾山回应:自己的权利只能自己保护,如果你不在意自己的信息被收集当然可以随意,如果你不在意自己的选择权被忽略当然可以随意。

说到“授权漏洞”,今天大家把矛头都指向了支付宝,但有问题又何止这一家,连谷歌前段时间都对安卓系的 APP 下达警告,如果你的 APP 在搜集用户信息的时候没有进行相应的提醒,那么你将成为谷歌的重点打击对象。

通过对用户信息的搜集,进行大数据分析,可能真的有利于提升用户体验。但侵犯隐私的界限在哪里?有些厂商就是想打擦边球搜集你的信息怎么办?

欢迎大家在后台留言,说说你的看法和应对招数。

蓝字查看更多精彩内容


探索篇

  暗网【上】|  暗网【下

草榴社区 女鉴黄师 | 以图搜图

心脏滴血 撞库攻击 | 潜行追踪

刷票 | 人肉 | 勒索 | 内鬼

超级欺骗系统


真相篇

战斗民族野生聊天 App

草榴社区这类色情网站为什么封不掉

什么样的漏洞买得起北京二环一套房?

上了个“假”黄网,误入了7亿黑产的大门

13岁小黑客自学一年挖到了微软、谷歌的漏洞

中学教材现黄色网站 人教社回应遭网友质疑

干货!top白帽子 Gr36_ 手把手教你挖漏洞

我们可以用“免疫系统”对抗黑客入侵吗?

这位叔叔要教勒索软件一些做人的道理

有个网站叫“我知道你下载了什么”

无线电攻击居然还能用来打飞机

“道哥”透露从业初心


人物篇


道哥:重回阿里的29个月

黑客老王:一个人的黑客史

吴石:站在0和1之间的男人

黑客衰大:45天攻入姑娘的心

黑客段子手“呆子不开口”

“特斯拉破解第一人”刘健皓

唐青昊:虚拟世界的越狱者

MOSEC:盘古团队的野心优雅

让周鸿祎“三顾茅庐” 的 黑客 MJ

美女黑客张婉桥的“爱丽丝奇遇记”

TK教主和玄武实验室的几个小故事

把老婆训练成女黑客的漏洞大神黄正

“真爱”黑客 Fooying 手把手教你追妹子


更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域,讲述黑客背后的故事。

长按下图二维码并识别关注