因为一个小功能，我对微信手机号转账的好感度加了10分

微信支付上线了“手机号转账”功能，不加好友也能转账，这就意味着再也不能通过微信加好友转账来套路小姐姐微信了，但你可以通过手机号转账功能直接找小姑娘要手机号码。

作为一个稍微有点安全意识的用户，我其实比较关注的是，这个新功能会不会泄露用户隐私，比如通过手机号转账过程中是否会出现我的真实姓名，它的姓名脱敏是怎么处理的。

1、体验一回微信手机转账

我找了一位好友帮忙做个简单的功能体验，双方必须都开通手机号转账功能才可完成转账操作。在这个转账支付过程中，通常会有一个姓名验证的功能用来确认对方身份信息。

 

我们注意到，微信支付隐藏了姓名的前两位，只显示姓名的最后一个字，它在这里帮助用户隐藏了姓名的前两位，既能满足用户身份验证的需求，同时，提升了对用户隐私的保护。

2、支付宝转账是什么样子呢

支付宝早在2012年就上线了手机号转账这一项服务，支付宝在隐私设置可以设置是否向好友公开我的真实姓名。那么如果我开启了向好友公开我的真实姓名，一个陌生人通过手机号码转账，它能看到我的个人信息吗？

做了一个小测试，可以看到，它只帮助用户隐藏了姓名的第一位，也就是姓氏，后面的名字是直接显示出来的。

这种情况下，已经有了名字，只需要再找到他的姓氏，就可以还原出他的真实姓名。这里只是提供一个思路，仅供参考。

1、在这个转账界面点击头像是可以直接访问用户个人资料，从这个获取到地区信息，比如福建 福州，这时候就可以去搜索一下福建十大姓氏排名或者福州排名前十的姓氏，通过获取到相关姓氏，来验证用户的真实姓名。当然，这就是概率事件，运气好的话，可能很快就成功啦。如果不行，继续尝试。

 

 

 

2、以百家姓作为破解字典，基本就可以覆盖到全国的姓氏，依排名顺序对每一个姓氏做验证。

支付宝的姓名验证机制，对同一个用户一天最多可以验证10次，超过10次，风控系统就会提示“姓名检验失败次数太多，暂不支持姓名检验，请明天再试”。

如果你只是想要知道街上搭讪的小姐姐的真实姓名，找10个好友一起验证一下，毕竟人海茫茫，世界上叫张伟的人这么多个，要相信缘分，相信概率。

这就变成一个接口爆破和攻击成本的问题，增加字典，时间和人员投入，爆破成功的几率越大。

当然，纯属个人臆测，并未实操过。如果你是为了找到小姐姐的真名，有这份耐心值，还不如打电话直接问吧。在我的理解里，这只是产品策略的不同，在用户安全意识缺失的情况下，可能会给用户带来不同的安全风险。当数据脱敏隐藏的字段，看似毫无关联，但只要输入一定的信息，实际上存在着某种规律可循。如果你对他的籍贯、教育背景和工作经历都很熟悉，用这种方式来验证一下身边的朋友，你会发现一切都很合乎情理之中。

3、手机号脱敏如何处理

手机号码有11位数，你知道，这些数字都代表了什么嘛？

前3位    ——— 网络识别号（联通、电信、移动）

第4-7位  ——— 地区编码（所以把你的号码前7位放就知道哪个城市）

第8-11位 ——— 用户号码（随机且无意义的数字）

假设，我们已知某个人的QQ邮箱，通过REG007找到他所注册过哪些网站，找到其中一个有密码重置功能的网站。通过输入用户的QQ邮箱来重置用户密码，在密码重置界面就可以看到手机号码显示为133****XXXX，隐藏了中间4位，来防止隐私泄露。但这种方式，只需输入必要信息，其实是很容易被破解的。

 

 

 

手机号码隐藏了中间4位，有着10000种数字排序的可能，但只要通过社工等手段来确认手机号主人所在的城市，比如人在福州，利用地区编码，直接缩小范围到86个手机号。然后批量导入社交工具通讯录（如QQ/微信/支付宝），可快速定位到你想要找到的人的手机号码。

现在，很多系统其实都已经意识到了这个问题，所以，在手机号脱敏的时候，会显示成133******XX，隐藏了中间6位数字，这是一种提升用户隐私保护的改进。

4、捡到身份证，如何找原主

我们再来看一个案例，捡到了一张身份证，如何还给原来的主人，这里分享一个思路。

1、打开“个人所得税”App，点击找回密码，进入身份验证界面：

2、根据捡到的身份证信息，填写证件号码和姓名，点击下一步。

3、选择验证方式，通过已绑定的手机号码验证。

4、在这个界面，可以看到系统显示用户的手机号码为133****XXXX，隐藏了中间4位。

如前文描述，隐藏中间的这4位为地区编码，利用身份证上获取的地址信息来缩小范围，导入社交工具通讯录，快速定位到原主人的手机号码，联系他把身份证还给他。如果这种方式没找到人，最稳妥的办法是直接把身份证交给警察叔叔。多关注你使用的软件产品，多思考，你会发现很多社交软件的强制关联，在某些特殊场景下，是可以被利用的。技术向善，请不要用你所以为的正义，去社工去跟踪去监控，因为这些做法，早已超过法律边界，触犯了法律法规。

5、关注个人隐私

在支付宝的隐私设置里，我不敢向好友公开我的真实姓名，因为一旦开启这个功能，我怕会有陌生人拿着我的手机号码通过转账功能来试探我的真实姓名。

微信手机号转账姓名脱敏多了1位，这一点小小功能的改进，提升了对用户隐私的保护。

社交软件的强制关联，你所使用的应用和设置，导致你的个人隐私正在泄露，你的生活轨迹无所遁形。在网络世界里，你已无处可藏，一定要保护好自己的隐私。

写下这篇文章的同时，我重新检查了一下手机和社交软件的隐私设置，并关闭了部分功能。你呢，不检查一下嘛？

以上，仅作为一个用户，关于个人隐私的一点点忧虑和感想。希望更多的互联网企业，能够站在用户角度去思考，个人隐私保护问题。