V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
ety001
V2EX  ›  全球工单系统

阿里云的钉钉视频核验流程存在欺诈隐患

  •  
  •   ety001 · 2019-12-23 19:57:37 +08:00 · 4518 次点击
    这是一个创建于 1557 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天在阿里云备案域名,发现现在阿里和腾讯都开始用 app 或者小程序集成人脸识别来替代原来的拍照了,这是个进步。

    不过我在阿里云备案,信息提交后(已经通过阿里云 app 进行了人脸识别核验),工作人员要求还需要用备案手机号注册钉钉,有备案主管专员加我钉钉进行视频核验。

    下午,专员加我钉钉后,只是问了下现在是否方便视频,我回答可以后,就直接开始视频聊天。关键是对方的摄像头是关闭状态。整个验证过程,就是要求举起身份证,正反面各停留了大约半分钟。期间并没有再表明自己的身份。

    验证结束后,我看了下该主管专员的资料,也不能完美的证明其身份。

    这个过程不得不说,存在很大的欺诈隐患。

    正常情况下,如果人工流程不能一次性完成的话,应该由系统生成一个随机码给用户,下个主动联系用户的工作人员,应该主动先报出随机码给用户以表明身份才对。

    希望阿里云重视一下。要是这种手持身份证的视频的获取途径存在这种隐患,后果是不敢想象的。

    3 条回复    2019-12-24 13:01:46 +08:00
    nandehutu
        1
    nandehutu  
       2019-12-24 10:13:33 +08:00
    这个欺诈是在数据泄露的前提下,才会有可能发生吧,如果数据已经泄露了,那有可能欺诈的地方真是太多了。
    ety001
        2
    ety001  
    OP
       2019-12-24 12:15:16 +08:00
    @nandehutu 目前的机制是你只要知道手机号,通过手机号加钉钉后即可开始视频核验。别有用心的人可能会是熟人,知道你的手机号,且知道你现在在备案。

    当然这只是我能想到的一种假设,但是的确是存在这样的 **隐患** ,对于隐私度极高的数据处理,如果有隐患就是危险的。攻防过程中,防线就是溃败于不起眼的蚁穴。
    opengps
        3
    opengps  
       2019-12-24 13:01:46 +08:00
    这个流程确实只是单向的验证,操作过程确实有被利用的可能。不过能准确知道通过备案系统知道备案提交资料内容的,一般来说也就是同事家人的范围了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   3210 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 37ms · UTC 11:59 · PVG 19:59 · LAX 04:59 · JFK 07:59
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.