以下事情发生于2017年下半年,我兼职于国内某网贷公司时。一些更详细的信息在17年11月发表的、一篇烂尾的关于"接私活"的文章中有所提及。
这家公司管理极其混乱——我作为兼职的运维人员,能透过root登录他们的服务器这都不算什么。更荒唐的是我对他们的数据库具有完全的访问权限——任何一个数据库的任何一张表都可以。
这或许是因为他们把我当devops了——他们的程序员水平实在太差,而且还不设调试环境,竟把生产环境同时用作调试。他们又以"无权限访问(生产环境的)服务器(的日志)"为理(jie)由(kou),让我协助调试。
他们的错误也十分低级——大多是少了(方|花|圆)括号、(单|双)引号的右半部分或是结尾的分号。
我甚至怀疑他们用垃圾微软的垃圾Windows的垃圾"记事本"来写程序,而不是专业的IDE。
一、不该出现在数据库中的东西
偶然发现他们的数据库中,用户的表中有一列皆是json编码的信息,其内容看起来像是用户的通讯录。大致如此:
{
{"姓名": "电话"},
{"姓名": "电话"},
{"姓名": "电话"},
}
其中有不少"姓名"一处是类似"爸"、"妈"的,我更加相信他们的App上传了用户的通讯录,且很有可能是在用户不知情之情况下。
我很清楚这是为什么——一旦债务人(用户)无法偿还贷款,这些信息很可能被转发至债务人(网贷公司和/或为其提供资金的金主)所雇佣的"讨债公司",后者很清楚无法从债务人本人处要回贷款,便会无休止地骚扰债务人的亲友——而亲友的信息是由这通讯录提供的。
我也曾是这种恶劣行为的受害者——2016年,我因某些客观原因及交友不慎,使我的联系方式出现在某"老赖"大学生的通讯簿中。
2017年12月,这令我在国内使用的手机号受到影响。留学期间为规避高昂漫游费用,我将国内号码的SIM卡取出。这令"讨债公司"电话骚扰不成,转而"短信轰炸",令我的手机号收到大量的网站注册验证码。
有人或有疑问,这些债务人为何不起诉拖欠还款的债务人?或因他们提供的民间借贷利率过高(远高于银行贷款),而最高法于2015年8月6日发布的司法解释指出:
第二十六条 借贷双方约定的利率未超过年利率24%,出借人请求借款人按照约定的利率支付利息的,人民法院应予支持。
借贷双方约定的利率超过年利率36%,超过部分的利息约定无效。借款人请求出借人返还已支付的超过年利率36%部分的利息的,人民法院应予支持。
二、保存密码,用MD5"加密"
TBC
权限管理很重要,备用机也很重要,有些流氓APP我放在备用机上运行,没有通讯录,也没有SIM卡,什么都没有,只有个干净的系统、一对流氓APP和WiFi
@FROYO : 备用机在某种意义上是一个很好的解决方案,毕竟现行的Android系统完全不支持虚拟化技术,似乎也没有可用于"生产环境"的沙箱。
某些权限可以禁止(包括【获取电话信息】,可以用AppOps),但很多时候像【读取/写入存储空间】这样的权限无法禁止,一旦禁止便无法正常使用。
互联网公司没有什么行业是干净的
@路易大叔 : 有些小微企业和个人开发者或许还是"干净"的
但这种冲着不合理盈利去的、捞一把就走的公司十之八九不干净。
不通知用户就上传别人的通讯录,这种做法真的很无耻,但是我们又无计可施,像借贷类的软件我从来不装,支付宝应该算么?
@灰常记忆 : 支付宝似乎可以在手机设置里不授予通讯录权限
且不会影响正常运行
然而电话权限(获取手机信息)若不授予则无法运行,因此我用AppOps使其只能获取到NULL
网贷软件我是从来不用的