前记

这几天公司里的事情忙的七七八八了，再加上马上要过年了实在是有点提不起劲。就在我一边刷刷知乎，一边改改代码的时候，突然看到了一个我关注很久的大V的一个分享活动，说白了就是银联送钱送红包的活动。我一看，还有这等好事儿，便点了进去。

大家都知道，一直以来，银联爸爸不缺钱，不缺资源，但偏偏缺的就是广大人民群众的爱。每天我上班坐地铁的时候，都能看到便利店里面贴了大大的云闪付广告，只要用云闪付就能减免多少多少元。不得不说这一次的云闪付红包力度确实还可以，不过就在我点入她的分享链接时，出于职业敏感型的我，注意到了一件事。

验证与复现

为了验证我的这个猜想，我打开了新浪微博，然后搜索“云闪付，分享”这些关键字。

首先随便找到一个分享链接

然后点入分享链接后截取他的URL参数

最后将这段参数Base64一下以后，手机号就直接出来了

总结

从这通操作来看，这次红包分享的内部应该是直接用手机号作为数据库的主键，但是在URL加密构造上实在是太忽视广大人民群众隐私的安全性了。虽然手机号泄露这种听上去并不可怕，但是正是这种日常的泄露经过社工库不断地汇总才会导致一个人的安全隐私被逐渐曝光。其实光是有手机号往下就能继续去做很多事情。这里就暂且不表了。

附记

本来是想告诉大家这次的银联红包活动既然出了这个差错，就不要把自己的红包链接分享给陌生人，自己熟悉的人内部玩玩就可以了。不过刚刚登录了一下微博看到这个BUG已经修复了，看来银联自己终于意识到了这个问题。估计这个项目的负责人今年这个年也不大好过啊。然而在2月8号之前的分享链接依然存在这个问题，想要用银联撸羊毛的同志们记得将自己8号以前的分享删除，换上新的分享链接。