墨轩竹隐私泄露警告

【身份证信息泄露警告】

各位圈友，你们好。

中文SP圈子这些年历经了跌宕起伏，现在正处于最为艰难的一段时期。

我们近期已确认墨轩竹存在用户个人隐私泄露的风险（包括身份证照片、实名信息等），其运营者在沟通过程中出现多次意图隐瞒的情况。希望大家在使用墨轩竹时一定要保护自身隐私安全。现将全过程及相关证据公示如下，并希望大家通知认识的圈友：

【注：以下内容均提供客观证据，无任何主观判断；所有的调查、测试过程均是非侵入性的；所涉及代码均为墨轩竹公开的前端代码及其所使用的wordpress主题的公开代码】

事件起因

如下图所示，2024年4月2日晚，墨轩竹运营者来到群聊中宣传其即将推出的小圈聊天软件

出于对墨轩竹搜集用户身份信息的顾虑，我借此机会多次向其询问“是否存储了用户隐私数据和敏感信息”，其坚称“没有存储用户实名信息，用户的实名数据均在支付宝侧存储，只能他在支付宝后台查询”，证据如下图所示：

作为一个有一定技术和判断能力的成年人，我认为他在放屁。

考虑到要证明“墨轩竹存储了用户身份信息”有一定难度，因此我要求他提供支付宝侧api的相关参考文档。（做过开发的人都知道，这类api一定会提供接入文档供商家、app参考）。但其甚至无法找出相关文档。如下图所示：

此时，我认定墨轩竹运营者在撒谎，并且在拿着那么多圈友的实名认证信息开玩笑。我只能通过墨轩竹公开的前端代码与互联网上能够找到的蛛丝马迹进行分析。

毕竟，talk is cheap, show me the code.

以下内容是针对墨轩竹运营者谎话的回应。

墨轩竹运营者称【不会直接接触用户的实名信息与身份证】

运营者称，由app生成一个二维码，用户支付宝扫描后进行验证。也即是，【不会直接接触用户的实名信息与身份证号】

但如截屏所示，墨轩竹在实名验证第一步就要求用户上传身份证正反面图像、身份证号码和实名信息。截图所示页面并非支付宝认证页面，而是墨轩竹app端页面。

【身份证信息泄露警告】墨轩竹app端实名认证过程分析

墨轩竹运营者称其“没有存储用户信息，只能在支付宝后台根据用户id查询到对应的用户实名信息”，暂且不论后半句“从支付宝后台查询”是否具有可行性，经过分析，用户的实名认证相关信息在认证时已被存储到服务器中。

此图为墨轩竹app端的实名认证相关处理逻辑，可以发现，在用户进行认证时，身份证的照片已经传输到了墨轩竹的服务器上

为了更详细地了解身份证照片传到了哪里，我们进一步分析。墨轩竹使用的是lightsns框架，其上传图片的函数也是直接使用了框架内提供的words-base64.php。

将此文件下载下来，进行分析。墨轩竹所使用的文件存储后端为阿里云的oss存储。这里是words-base64.php的关键处，进行了图片上传

此图则是最终的身份证文件命名方式。

墨轩竹的阿里云oss地址为 spc.neihanfly.com 因此，用户的身份证照片被上传到了如下地址：

spc.neihanfly.com/user_files/用户id/publish/post/随机数_上传时的unix时间.jpeg

并且使用的是可“公开访问”的oss。

理论上来说，所有人都可以通过爆破的方式，凭借上述url尝试获取墨轩竹用户的实名认证身份证照片 如下图所示【此图非通过爆破获取，而是我借用一位圈友的墨轩竹账号进行的测试，已经过对方同意，在此十分感谢！】

可以通过该url访问到墨轩竹用户的身份证图像。（该图像在实名认证结束后不会被自动删除）

**根据墨轩竹公开的前端代码推测，其并没有能力将用户的身份证照片与正常发帖的照片区分开来，**也即是，已经存储的身份证照片大概率会一直放着，除非墨轩竹清空所有内容。这是由于经过words-base64.php上传后会返回照片url，返回的url墨轩竹app端拿来展示一次图像后，就直接丢弃了，至此，身份证照片成为了没有索引的图像，无法批量清理。

墨轩竹运营者称“可以在支付宝后台直接查询用户id对应的实名认证信息”

这点我与支付宝开放平台在线客服及电话客服均有沟通，对方明确表示没有此类产品。

为保护技术客服的隐私，截图暂不放出，但是否有这类产品大家前往 open.alipay.com 自行查阅即可了解到。

墨轩竹的更新【此节带有主观意见】

在本文发布后，墨轩竹确实对网站做了调整，但是着实有些可笑

• 墨轩竹屏蔽了非大陆IP（？掩耳盗铃？？真令人挠头）
• 墨轩竹取消了身份证照片上传的流程，改为直接通过身份证号码和姓名验证。通过分析其实名验证的api，了解到其使用的身份验证api并不需要用户的身份证照片。所以，之前要求用户上传身份证照片是为了自己玩吗？

声明

用户的实名认证信息是用户最重要的隐私数据，任何站点对用户隐私信息的践踏都是应该被抵制的。请各位圈友在访问圈内平台时务必保护好自己的隐私安全。

本信息发布于2024/4/4凌晨，部分内容更新于2024/2/6。

若有更多问题，欢迎通过首页邮件与我联系。