刚被罚款 34 亿,美团又出了两个瓜
这两天美团出了两个瓜,都跟他们的产品有关系,简单聊聊。
第一个瓜是美团的账号体系存在漏洞,导致王思聪的账号被别人解绑后重新绑定。
这种操作,意味着新绑定的手机号可以直接登录原美团产品矩阵账号,查看包括订餐记录、开房记录、电影记录、购药记录在内的所有数据。
也难怪,王校长会如此生气。
因为美团和大众点评早就打通了账号体系,包括猫眼电影、美团外卖、优选、买菜在内的产品其实都是共用同一套账号。
肯定有人会好奇,解绑账号这种高安全性的操作是怎么在机主完全不知情的情况下完成的?
微博上有个哥们儿爆料了,并且录视频演示了完整操作流程。
简单说,你只需要知道对方绑定美团账号的手机号码以及身份证生日,就可以通过几步操作完成解绑并重新绑定新号。
我看了下那个视频里的操作流程,大概是从登录页面点击底部的「遇到问题」,然后选择更换手机号。
接下来,只需要输入原来的手机号、生日和新手机号,就可以完成重新绑定,非常简单。
整个过程中,只有一步操作是滑动滑块完成人机验证。
可是我今天去测试的时候,发现流程有一些变化,不知道是不是美团看到热搜后立马优化了这个流程。
首先,在输入原手机号的时候增加了一个规则,就是只支持 6 个月内修改过账号绑定手机号的用户进行这项操作(上图中红线标记)。
这条规则的增加在某种程度上确实完善了之前的漏洞,但细心的人一定能发现,漏洞依然存在。
其次,我在用自己的账号测试时,在验证环节多了一个微信支付认证。
但是,在那个视频里没有这一步操作,大概率是被解绑的账号并没有绑定微信。
因此推测,如果王校长的账号是通过这种方式被解绑的,那他大概率也没有绑定微信。
因为一旦需要微信二次验证,只有登录他本人的微信账号才能完成。这种设计,是确保解绑和重新绑定的账号是在同一台手机上完成。
说实话,如果真如之前那样是通过手机号和生日来进行认证确认,那这个安全机制设计就太草率了。
总之,这确实是产品规则和流程设计上的问题。
第二个瓜同样来自这个爆料博主,他更新 iOS 15 并使用检测软件后发现,美团 App 在后台以每 5 分钟的频率获取定位信息。
前几天我写过一篇文章说了下微信访问相册的事,其实这两件事都有一个共性。即都需要更新到 iOS 15,因为这是新系统才有的特性。
如果说微信是为了提升产品体验去提前加载预览图片,那美团的这个做法就让人无语了。
当然,美团肯定会说这是在用户授权位置权限后才获取的。但是,这种频率未免也太高了一些,简直是 24 小时全程监控。
不过,在 iOS 系统里要做到这件事要满足一个前提条件,用户需要授权 App 「始终」能访问位置信息。
如果苹果的系统策略有效,那爆料人大概率是对美团 App 开启了这个位置权限。
如果爆料人没有开启这个权限,而是选择的「使用 App 期间」。要么是苹果的系统策略有 bug,要么是美团的程序员技高一筹。
不管怎么说,美团 App 在后台如此高频率获取用户位置信息,确实有点太鸡贼。
我还特意看了下美团 App 注册时的隐私协议,里面有这么两段。
简单说,美团 App 获取你的位置信息是用来给你推荐附近的服务让你消费的。
需要注意的是,不仅是定位信息,还包括你设置的地区、上传的图片和视频中包含的位置信息。
这也就意味着,哪怕你没有开启美团 App 的位置权限,他们也能从你上传的照片或视频以及你的个人信息中获取到你所在的位置。
至于为什么以如此高频率去获取你的位置,我想应该是为了及时了解你的走向,以便于更及时给你推荐消费信息。
这些,都是为了订单和 GMV。
不过在我看来,这种做法是一种比较简单粗暴的实现方式。用技术的话说,就是「轮询」。
轮询是一种技术机制,早年没有推送服务的时候,就是用轮询的方式来检测是否有更新。客户端每隔一段时间请求一次服务端,以此来获取最新信息。
要知道,轮询是一种非常消耗资源和流量的做法,尤其是这种高频率轮询。
像这种获取用户最新位置的做法,完全可以做得再细一点,以不同时间段和位置点来判断用户位移,然后结合位移后的定位信息来配合推送通知介绍周边服务。
当然,这只是技术上的一个优化,对于普通用户来说是完全无感的。
虽然用户授权美团使用自己的位置信息,但这种高频监控还是有点过了。
从数据角度看,你每天的行踪在美团看来就是一览无余的。
最后,我在美团的隐私声明中还找到了这么一条。美团能做到的,实际上比我们看到的和想到的要更多。
想一想,还是后背发凉。
或许,在如此多的 App 产品中,这还只是冰山一角。
数据和隐私安全,任重而道远。
················· 唐韧出品 ·················
大众点评给王校长留言说私信回复具体事项,但我觉得这事儿就不用私信了,应该给大众一个交代。
发文此刻,美团点评依旧没有给出相关回复和说明。或许,正在拉着产品、技术、公关紧急开会讨论吧。