當用戶發生銀行卡盜刷事件時都會去找銀行理論，但答復無一例外都是用戶的責任。換句話說，銀行永遠都不會出現安全問題，至少不會出現重大低級失誤，或是覆蓋所有用戶的影響。

但今天不聊盜刷，只聊如今的銀行產品與信息保護真的可靠么？當各家銀行在互聯網飛速拓展業務的同時，是不是開始忽視了什么。本次主角是民生銀行信用卡手機客戶端，當烏云君看到這個案例的時候脊背發涼，不僅是我正使用這款產品，還有我竟然從來就沒懷疑過它，所以當它出現問題時，小小的三觀有點崩塌。

　　民生銀行信用卡客戶端

上圖是用戶比較熟悉的民生銀行信用卡客戶端，但萬萬沒想到這個漂亮的界面下竟然存在一個非常低級的安全漏洞（就在咱們眼皮底下），而它幾乎可以影響所有民生信用卡用戶。

為了證明這個漏洞影響，白帽子找了一些信用卡照片，提取卡號（說明完全隨機挑選的）

　　為什么這些圖片會被發到網上…

比如 6226000001267*** 和 6226000003372***，誰讓你們非得把自己信用卡照片往網上傳。接著打開信用卡客戶端抓包

　　會有個更新個人信息的請求包

有個POST請求，這個請求提交的數據是自己的信用卡卡號，所以相信你已經get到了，我們就是要把這個卡號換成其他人的。。。

竟然看到了這張信用卡所有人的姓名、消費金額、消費日期等信息（15年12月3號刷了213.11元），在換一個卡號試試

同樣查到了這張卡的所有人與最后消費金額、時間等信息（15年12月1號刷了152.18元）。提升點難度，白帽子又在網上找到了一個民生銀行被盜刷用戶發出的截圖，雖然敏感內容做了掩蓋處理

　　一張用戶信用卡被盜刷的登記表

放大信用卡，黑色好高端的樣子

　　得到卡號

用APP內部的接口查詢一下，名字和消費信息肯定也返回了，跟登記表中的姓確實是一的，15年12月4號消費了5.02元。

接口可任意查詢對應信用卡號的姓名與最后一次消費記錄（還有一些信息類字段），如果這個漏洞發生在互聯網企業產品中我不會覺得驚訝，但偏偏出在了我們新人并依賴的銀行產品上。在傳統企業進行互聯網化后，更多的功能性接口、權限將會對任意一個互聯網用戶開放，變得愈加不可控。

民生銀行對該漏洞非常重視，該漏洞于今年1月份報告后就得到了解決，用戶不會受到這個漏洞影響。對于銀行來說，互聯網化后要積極關注互聯網產品經常出現的問題；對于咱用戶來說，銀行卡號也是非常隱私的信息，不要輕易給予他人或傳到互聯網上，萬一又出新漏洞了呢。