一个不太严重的安全问题,可能会导致信息泄露! 不太严重,不太严重,不太严重!!!官方处理下就好了!!!
问题来源于微信小程序:流量主服务助手
该接口会返回未经处理的开发者信息,包括__身份证姓名、身份证号、流量主绑定的银行卡号及未加水印的银行卡和身份证照片__。这些信息没有打码、没有加水印。 具体开放到什么程度,可以自行探索。
问题不仅仅是这些信息不加密,不加***处理。
而是这些信息哪些人可以看到呢?
我们发现通过更换该接口的APPID为已和你绑定的小程序都能获取到这些信息。
因此只要你在流量主服务助手内看到的应用,你都可以拿到这些信息。而哪些人可以看到你的应用呢,注意看上图官方给的答复。
那么你的这些无码信息,很轻松的就被一些可能不知道什么时候加到运营者权限的人群拿到。
那为啥又说不太严重呢?
一是不一定有人这么无聊,二是我们测试了随便拿个appid是获取不到信息的。