淘宝

你应该能猜到，关于你，淘宝了解太多。

淘宝上不仅有你的电话、详细的家庭和工作地址，如果你给爸爸妈妈买过东西，他们的真实姓名和电话住址也能在“管理收货地址”或“我的订单”里看到。

这些资料，如果不登录你自己的账户，是看不到的，问题是很多人的淘宝登录密码极其简单，而且还曾和别人共享过，显著降低了图谋不轨者获取你隐私信息的难度。

身为一个淘宝老用户，我还记得自己五年前抱着玩玩的心态注册淘宝账号的时候，随手就用了自己名字的全拼加生日做密码。这么多年过去了，淘宝的功能越来越多，今年春晚的时候为了抢红包，我还把父母的账号绑定成了亲情号，而我还在用那个一猜就中的高危密码。

和我，以及很多人一样，@露娜er吃了“不小心”的亏。

有一次，她收到了一条来自陌生号码的短信，里面都是自己好朋友的名字缩写。接着，跟踪狂又人肉到了她父母的电话和住址，并买了机票，放话要杀她父母。

为跟踪狂“助攻”就是淘宝。淘宝的登录方式中有一种，是手机验证码登录，手机即使是在锁屏状态下收到验证码短信也会有弹窗。而露娜的手机，设定成了弹窗在锁屏也显示全文。

利用这个破绽，跟踪狂趁露娜不在手机边上，登录过她的淘宝账号。

Bug就来了，只要跟踪狂不退出登录，正主改一百遍密码都没有用，这边还是登陆的好好的。

更可怕的是，只要这台手机曾经成功登陆过这个账号，那么改密码会更加容易。只需从忘记密码进入，选择其他验证方式，输入真实姓名、身份证号、注册邮箱和银行卡号、选择最近购买的物品，就可以修改密码了。

对于一个稍懂社会工程学，甚至曾与受害者有过亲密关系的人来说，这些信息获取起来太容易了。

相关报道: