■横跨数月跟踪，发现苏宁APP泄露其他用户完整手机号事件

本文插图
提起自营类为主的电商企业，很多人首先会想到京东与苏宁，即便我最近一个月投诉京东多次，但总体依然是数一数二的级别。而苏宁，仿佛是京东的跟随者，如果说京东是一个纯正的互联网企业，那么苏宁依然是一个披着互联网外衣的传统零售企业，其线上营销与活动形式依然在模仿京东，却不得精髓，并且App的交互细节体验方面依然差距明显。比如这次说的是签到环节，相对于京东的签到领京豆活动，苏宁签到领云钻界面的页面架构执行效率底下，部分返回逻辑有问题，完全没法和其他电商签到活动页面比较，但这都不是本文吐槽重点。本次说的是苏宁产品开发环节的安全疏漏问题，涉嫌泄露传播其他苏宁用户完整手机号的隐私问题。为了严谨。前后经历了四五个月的不间断证据搜集，中途两次告知苏宁均未及时处理，才出了这篇文章警示大家注意。

本文插图
具体页面：打开苏宁App ，点击首页/签到有礼或者我的/领云钻，进入云钻魔法狮这个签到页面，然后点击偷云钻，点击进入偷附近的人页面，正常来说这些页面顶部状态栏会有2种情况，一种是标准中文昵称，另一种是打星号的手机号昵称。但问题是，当每天这么操作多次，就有一定概率出现其他用户的完整手机号。最初发现于2019年9月左右。

本文插图
为了证明该问题可复现，在9月后每天都开始进入这个“偷附近的人云钻”活动页面，经过1个多月就攒了一堆显示其他用户完整手机号的截图，如上，这还是一小部分(里面手机号的个位数打码是我后期遮挡，照顾用户隐私) 。

本文插图
经过继续测试分析，我把这个签到页面他人昵称显示分为4类。第一类就是标准不打星处理的中英文昵称、第二类是获取到用户名称是完整手机号的会自动打星处理，这两类处理没任何问题。
【■横跨数月跟踪，发现苏宁APP泄露其他用户完整手机号事件】

本文插图
第三类是中英文昵称带有手机号的不打星号处理，第四类似乎是未获取到真是昵称，直接加载了完整手机号和用户ID特征码，问题就是这两类。推测这两种是不同时期或者是第三方账号登陆导致的账号名和用户特征码获取方式不同导致。并且在wifi和流量下均能浮现，也基本可以排除网络问题导致的打码昵称加载失败。但话说回来，即便是网络问题导致的加载BUG ，这也不应该出现这么久不修复，不像一家大企业水准。

本文插图
既然我在签到页面能看到其他用户的完整手机号，难保其他用户也能看到我和别人的完整手机号，想想还是发博告知下苏宁和朋友，苏宁客服答复的原话是“亲爱哒，感谢您真诚的给我们提出的宝贵建议，小苏已认真记录下来并将反馈至优化部门，努力让您有一个更舒心、更贴心、更放心的体验平台~”直觉告诉我，这是机器人自动回复的套话。

本文插图
所以我并未放弃每天的打开测试，一直截止到19年12月，问题依旧，这次更愤怒的发微博并@苏宁质问，这次苏宁客服居然还问到底出什么问题了，难道这个泄露隐私的行为就不是事儿？