Aug 04, 2016

无题

最近,工作地所在的园区推出了一款 App,宣传的主要功能是获取园区动态以及扫码付款,感觉这样吃饭可以方便一些,因此就下载了。

应用的名字叫“园圈”,在 App Store 上搜索出来,底下是一个没有见过的开发商。我觉得还算正常吧,一般这种小范围应用,不都是外包的吗。只是,这使我对于这个应用的使用埋下了一丝戒心。(后来我搜索了一下这家公司,网站充斥着强烈的国企风)

进入应用,首先要我注册,这很简单,手机号码验证码啪啪啪就输完了。然后,它要求我输入一个密码。我毫不犹豫地就输入了常用密码,在即将要点下一步的时候,却犹豫了一下。

我在想的是:

  1. 它是一个不知名的小公司
  2. 它已经知道了我的手机号码
  3. 它即将要知道我的常用密码

虽然我已经在不知道多少地方用过这个密码,但是这一次我就是不想在这用了。其它很多手机应用,提供了手机号码就会让用户直接登录,然而这个应用却强制要我再填一个密码。这对于它来说太简单了,获得一个用户的手机号以及常用密码,它可以用来做任何事情。并且,更可怕的是,没有人会关注它。

于是我清除输入并换了一组密码。

接下来,它要求我输入一个手势密码。

我从来没有用过手势密码,但它没有提供跳过选项,因此就画了个圈以示敬意。

但是,我想,如果是在其它地方用过手势密码的用户,这里应该是毫不犹豫的吧。虽然得到这个貌似用处并没有像手机号加密码那么明显,但是,不论怎么说,这家公司又获得了一项用户信息。

并且,这个以园区动态发布以及小额支付为主要(或者说唯二)功能的应用,有什么必要同时使用密码与手势密码呢?不得而知。

历尽千辛,终于来到了主界面,界面其实就是支付宝和咸鱼的结合体,没什么特别的。动态都是一些领导视察之类的文章,于是我就点开了“付款”功能。

首先,我要同意一个用户协议。

然后,输入六位数的支付密码。

至此,这是它要求我输入的第三个密码。并且是较为敏感的六位数密码。

这样就很不好了。

然而,不知道为什么,我当时还是如实填写了。

一切都填好以后,我终于可以仔细查看一下它的付款功能。很简单,支付宝或者微信充值,然后二维码扫码支付,却缺少了重要的一项:余额转出。

这真 TM 是一个忧伤的故事,说到底还是跟充饭卡没什么区别,只要你用不完,那么充进去的钱就算是捐了。

唯一的区别是,我向这家公司无偿提供了我的手机号码,以及密码,手势密码以及支付密码。

我突然觉得,这是一波实实在在的送温暖行动。

这让我想起几个月前在一家米粉店付款的时候,我选择使用支付宝,从店家的微信公众号直接跳转到了一个要求输入账号密码的,UI 跟支付宝一模一样的页面。几乎是本能反应的我点了“使用浏览器打开”,果然这不是一个 alipay 域名下的网站。

然而,如果用户不是一个程序员,或者不熟悉互联网的点点滴滴,他有多大几率能注意到并且发现诸如此类的事情呢?