信息安全要做好，身份认证不能少。众邦银行胡乱搞，别人知我钱多少。

一首绝句作为定场诗，接下来开始正式的内容。

最近，我在网上进行了一些稀奇古怪的操作，于是乎我莫名其妙的得到了一个“众邦银行”的账户。

这个名字并不是很熟悉，查了一下，看起来还算是有头有脸的样子。

武汉众邦银行股份有限公司（简称武汉众邦银行，英语：Wuhan Zhongbang Bank Co., Ltd.，缩写：Z-BANK）是中华人民共和国境内第11家开业的民营银行，也是湖北省首家获批开业的民营银行。

以上是wiki的信息。

国内一共十七家民营银行，这个众邦是第十一家，或许应该不会太差吧？

这样想的我实在是too young，too simple，还需要继续提高自己的知识水平。

这家银行其他方面不敢说，但是信息安全方面，是非常值得质疑的。

下面是我的众邦银行账户上的一部分流水：

首先，时间的格式化有问题，小时和分钟之间有两个冒号，这叫个啥？

分钟的两位数中间又有一个冒号，这叫个啥？

秒钟干脆就没有了，这叫个啥？

不但没有秒钟，分钟的第二位数后面还有一个冒号，这又是个啥？

这就算了，时间的格式化，小问题，大概还是能看懂的。

关键是这个页面的URL啊，同志们。

它的URL有啥问题呢？先不着急说。我们看两个其他的例子先。

京东

查看我在京东的历史订单，URL是这样的：https://order.jd.com/center/list.action

域名/center/list.action，这里面不包含任何多余的信息。

如果我把这个URL发给别人，别人如果正处于登录了京东的状态的话，打开看到的肯定是人家自己的订单。

如果没有登录京东，就会看到京东的登录页面。

没有问题，这很好，很合理。

支付宝

再看看支付宝，查看我在支付宝的流水，URL是这样的：https://consumeprod.alipay.com/record/standard.htm

域名/record/standard.htm，也很干净，path里没有啥脏东西。

如果我把这个URL发给别人，别人如果正处于登录了支付宝的状态的话，打开看到的肯定是人家自己的流水。

如果没有登录支付宝，就会看到支付宝的登录页面。

好了，应该不需要更多的例子了，大的原则就是我的购物和流水信息别人不应该仅仅通过一个URL就能看到。

接下来，看一看反面典型吧。没错，反面典型就是这个“中华人民共和国境内第11家开业的民营银行，也是湖北省首家获批开业的民营银行”–众邦银行。

https://perbank.z-bank.com/weixinServer/htmlShow/weixinBank/views/transfer/tradeRecord.html?/iwJPm77nZq2HJfE5F1i0O8eJZlV6AJqePqv0T7or1bZwkrWnishU3vmqDhXVKGFRuCcJFfjMxcu9khuk5DU8JtIvYvdELXHJMfGepT4I1UAYMCuutU8mQotdPwHAgq4nhocB1nKeeE4HKhWkNMG3kvv/HqUv0QA5F+oxCtdtYRpM9hwNz4mbAL/7VALq7818qWxJgTpWGt9zmO/G9tFb6rSBiW00BT1aPSPCBsswXk939y2I2qc/8yclDRs41ex=

上面是我在众邦银行的流水页面的URL。

哇呀，好花哨啊，这么多字符呀，看起来乱呼呼的，想必很安全吧？

并没有！

任何一个人，在任何一台设备上，使用任何浏览器，访问这个URL，就可以得到，你猜是啥？

没错，就是我在众邦银行的流水了。

不信的话，你访问一下那个URL，看到的内容和本文上面的截图里是一样的。

实在不是我想要搞一个大新闻，然后把众邦银行批判一番，而是众邦银行犯的这个错误太低级了。

作为国家批准钦定的民营银行，你们怎么能这个样子呢？将来用户的信息安全有了偏差的话，你们是不是要负责任的呀？

你们搞的这个东西呀，一点都不excited，简直让我折寿-1s。

你们这样搞啊，行不通的，这绝对不是坠吼的，简直不知道低到哪里去了。

希望你们能努力提高自身的知识水平，积累一点人生经验。

悄悄地做一点微小的工作，修复这个问题，之后就可以慢声大发财。

来日才好和用户们谈笑风生啊。