事情是这样的,早上我突然收到这样一封邮件。
58 email reset screenshot

而这个 58同城帐号我从两年多前开始就没登录过了。第一反应是 58同城被拖库了。于是中午先去 Google 一下,粗略看了一下似乎只有少部分人在去年年初说 58 可能被拖过。第二反应是可能主邮箱帐号被破了,因为主邮箱密码有很长时间没有修改过,于是立即去修改了主邮箱的密码。接下来就是通过主邮箱去修改 58同城帐号的密码。

上面这些步骤都做完之后我仔细一想,似乎错误并不在我,因为没有迹象表明我的 58同城或邮箱被入侵了——58 的页面显示我最后一次登录是两年多前,而 Google 的活动日志也表明除了我授权的设备之外没有人进入过我的帐号。

这个时候我注意到一件事情,我的 58 手机认证还是两年前的手机号码,而这个号码我去年已经换掉。于是我尝试更换手机号,果然遇到了一个大部分国内网站(和应用)都会遇到的设计——更换或者解除手机绑定,首先需要用已经绑定的手机号接收一个认证短信。而现在这个手机号码已经不在我掌控之中。

这里有一段插曲,在 58同城的帮助页面上,如果第一个步骤选择[账户问题 > 更换认证]分类,再选择具体问题[5、无法接收手机短信,怎么更换手机认证],页面上给出的建议非常可笑,如图。

58 phone number reset help

如果点击进入[自助更换/解绑手机]页面,就会发现如果原手机号不能接收短信的话根本无法解绑和更换手机号,如下图。编写这个帮助页面的 58同城员工很可能根本从来没有进入过这个更换手机号的页面。

58 phone number reset page

我想相当数量的用户都遇到过这个设计逻辑上的死结。对于一个拥有几百个网络帐号的用户来说,更换一次手机号码就去修改所有的手机绑定信息是不现实的,并且非常可能有遗漏;一辈子只用一个手机号码也是不现实的,总会有不得不换号的时候。那么这个时候,有一部分网站(包括本文中提到的 58同城),提供了一种替代的解决方法,那就是通过提交身份验证信息给网站客服,由客服来在后台解除手机绑定。在上图中,点击[天表单,联系客服]就会打开这样一个表单,必须上传一张手持身份证的半身照才能提交。

58 online customer service form

如果这个帐号很重要,例如是支付宝或是银行卡帐号,我觉得这可以接收,毕竟与金钱挂钩,并且这类服务准入门槛较高,服务商不太可能对身份认证信息掉以轻心(当然,对于支付宝我个人仍持怀疑态度)。然而对于 58同城这种服务商来说,似乎对相当一部分用户来说没有存在的必要性。站在用户(而非信息发布者)的角度来说,注册这样一个帐号只是为了搜寻相关信息,并且注册之时,网站并没有强制要求用户提供身份认证信息(某种角度来说这是一种市场策略,一旦强制要求用户提供身份信息,必然会流失部分潜在用户),那么你如何能让我只是为了解除一个我已经弃用的手机号码,就拱手献上我真实的身份信息呢?

对于有技术实力和相应态度的服务商,如果这个账号有长久使用的必要,那么出于保护帐号的目的,我可以提供真实身份信息。但是对于 58同城来说,这三点都不满足:我不认为 58同城有相应的技术实力和管理制度,能够保护我的身份信息免遭盗取;我同样不认为 58同城帐号有长久使用的必要;并且提供身份信息只是为了解除我已经不在使用的手机绑定,不是出于保护帐号、提升其安全性的目的。那么结论很明显,我不应当提供身份信息。

那么回到文章开头所说的邮件。到这里我感觉整件事情可能是这样的:

  • 去年更换手机号码时,没有在旧耗停用之前更换 58同城的手机绑定;
  • 废弃手机号码经过运营商的二次放号,被新主人买下;
  • 这个号码的新主人使用了 58同城的[58帐号登录]中的[手机动态码登录]功能,通过手机号码+动态短信验证码登录了我的帐号;
  • 这个号码的新主人试图修改我帐号的邮箱认证信息;
  • 于是我就收到了文章开头所说的邮件;

那么我采用的处理方法是什么呢?我觉得可以用一张图来说明。

58 how to reset phone number - baidu  zhidao

我从未向 58同城提供过任何身份信息,并且之后也不打算使用他们的任何服务,因此保留这个帐号只会给我带来额外的安全隐患和维护负担,我决定删除这个帐号。但是根据 58同城的帮助页面,他们不提供帐号删除的功能(在此向所有提供帐号删除功能的互联网服务致敬,你们才是未来),如图。

58 help about account deletion

那也没有其他办法,于是我将这个帐号的邮箱修改成一个垃圾邮箱,所有用户资料(之前是空白)修改成随机的垃圾数据,然后退出了登录。