问题来源于微信小程序：流量主服务助手 接口： https://mp.weixin.qq.com/promotion/supplier/publisheraccount?action=get_info&req_type=1&appid=APPID&supplier_id= 该接口会返回未经处理的开发者信息，包括身份证姓名、身份证号、流量主绑定的银行卡号及未加水印的银行卡和身份证照片。这些信息没有打码、没有加水印。 具体开放到什么程度，可以自行探索。 [图片] 问题不仅仅是这些信息不加密，不加***处理。 而是这些信息哪些人可以看到呢？ [图片] 我们发现通过更换该接口的APPID为已和你绑定的小程序都能获取到这些信息。 因此只要你在流量主服务助手内看到的应用，你都可以拿到这些信息。而哪些人可以看到你的应用呢，注意看上图官方给的答复。 那么你的这些无码信息，很轻松的就被一些可能不知道什么时候加到运营者权限的人群拿到。 那为啥又说不太严重呢？ 一是不一定有人这么无聊，二是仅限你绑定的小程序。我们测试了如果随便拿个appid是获取不到信息的。 [图片]