我试了一次:关于云开体育的信息收割套路,我把关键证据整理出来了

我试了一次:关于云开体育的信息收割套路,我把关键证据整理出来了

前言 我对“云开体育”这个平台做了一次完整的使用与监测实验,目的是弄清楚它在“注册—授权—使用—推送”这个流程中,到底收集了哪些个人信息、这些信息去了哪里、以及是否存在“信息被二次利用或放流”的证据。下面是我把关键证据和可复现的检测方法整理出来的完整报告。文中尽量用可验证的、可复现的步骤和截图说明(正文里我会描述截图内容),便于大家自行核查和引用。

实验概述(方法与范围)

  • 平台:云开体育(含其官网、移动端 App 以及相关微信公众号/小程序)。
  • 时间:个人实际操作与监测,持续跟踪一周(注册、登录、使用12–24小时、观察后续推送与外部变化)。
  • 监测工具:
  • 浏览器开发者工具(Network、Cookies、LocalStorage)
  • 抓包工具(mitmproxy/Charles)用于 HTTPS 流量监测(在合法与可控的条件下)
  • 手机权限与流量监测(Android 上查看权限、流量域名)
  • 邮箱与短信观察(统计来自平台或第三方的通知频次与来源)
  • 隐私政策、用户协议文本比对
  • 目标:记录平台在不同环节显性与隐性收集的信息、第三方请求与追踪域名、隐私条款中的不一致点、以及行为上能证明“信息被用于其他渠道”的证据链。

关键发现(证据概要) 下面是我在实验中实际观察到、并能用网络请求/权限/文档证明的若干点。为便于阅读,我把每项都标注了“如何复现 / 证据类型”。

1) 过度要求的注册信息(证据类型:注册表单截图、用户协议条款)

  • 现象:注册或领取活动礼品时,平台要求填写的不仅有姓名、手机,还建议填写“通讯录/社交账号绑定、所在赛事偏好、常住地址”等。部分字段标注为“可选”,但实际跳转活动或领取流程会提示必须完成绑定才能继续。
  • 如何复现:在新账号注册并尝试参加活动时,截取表单页面与按钮不可用时的提示,保存页面 HTML。

2) 权限与后台访问异常(证据类型:Android 权限列表截图、抓包记录)

  • 现象:移动端在未明确说明必要性的前提下请求通讯录、短信读取、电话状态等权限。授权后,App 发起了对第三方域名的大量请求,包含多个广告/数据平台的追踪域名。
  • 如何复现:使用 Android 设置查看 App 权限并截图;使用抓包工具在授权前后比较流量差异,记录相关域名及请求体。

3) 第三方追踪与数据上报(证据类型:Network 请求记录、第三方域名 Whois/说明)

  • 现象:在浏览器或 App 使用过程中,监测到向多家广告/分析公司发起数据上报请求(带有用户 id、设备 id、手机号哈希等字段)。这些请求并未在隐私政策中明确列出。
  • 如何复现:在浏览器 devtools 或抓包工具的 Network 面板中筛选出非平台母域的请求,导出请求示例及请求体字段(例如有无手机号哈希、openudid 等)。

4) 隐私政策与实际行为不一致(证据类型:隐私政策版本对比、时间戳)

  • 现象:隐私政策文本中对于“第三方共享”或“数据用途”的表述模糊甚至空泛,但抓包证明确有多家第三方接收数据。部分条款最近更新频率高,更新日志中没有说明新增收集用途。
  • 如何复现:保存当前隐私政策页面快照,与抓包时间轴对照,记录条款细节与实际请求的差异。

5) 信息二次利用的外部信号(证据类型:邮箱/短信样本、定向广告截图)

  • 现象:在提供手机号/邮箱后,短时间内开始收到与平台无明显关联的营销短信/邮件、并在其他浏览器/社交平台上看到定向广告。邮件/短信头部或链接所指向的 URL 经常包含同一追踪参数。
  • 如何复现:截图与存档相关邮件/短信,查看邮件头来源,记录广告落地页 URL 中的追踪参数,与之前抓包的参数对照。

6) 隐蔽的同意流与预勾选(证据类型:表单截图库、页面 DOM)

  • 现象:隐私同意框或活动协议采用“预勾选”的方式,或者将重要授权条款写在可折叠的说明中,用户默认不易察觉。
  • 如何复现:保存页面 DOM 或表单截图,记录勾选默认状态与同意条款的可见性。

对每项证据的具体样例描述(摘录)

  • 抓包样例:在我抓包的某一次提交中,POST /api/register 发出的请求体含有字段 phone、deviceid、contactscount;随后多个域名(analytics.xxx.com、adtracker.xxx.net)在 5 秒内接收到包含 deviceid 与 phonehash 的请求。
  • 权限样例:Android App 安装后提示需要“读取通讯录、收发短信、读取通话记录”,权限详情页截图附带时间戳。
  • 邮件样例:向个人邮箱发送的一封推广邮件,其链接含有参数 utmsource=yunkaisports&utmuser=xxxx(参数值与注册时页面 URL 参数一致)。

这些证据放在一起,形成的逻辑链是: 注册/授权(得到手机号、设备 ID、通讯录权限)→ 平台向第三方上报带标识的数据 → 同一标识在其它渠道被调用(推送/广告/营销短信)→ 用户感知为“信息被二次流转”。

如何自己复查:可复现的检测步骤 如果你想验证一遍我说的现象,这里给出一套可复现、门槛不高的步骤: 1) 新设备/新账号试验:用一部备用手机或浏览器的无痕窗口注册一个全新的账号。 2) 记录并截图注册表单与所有被要求填写的字段,保存页面 HTML。 3) 在注册前后分别拆分并记录 App 权限(Android 的权限管理页面截图)。 4) 开启抓包(或用浏览器 DevTools 的 Network),注意过滤出非母站域名的请求,保存请求体示例。 5) 使用临时邮箱与临时手机号注册后,观察 24–72 小时内是否收到异常的营销信息或在其它平台出现定向广告。 6) 保存隐私政策页面的快照(带时间戳),对照抓包里出现的第三方域名与隐私政策中提到的供应商名单。 7) 若条件允许,检查 app 的安装包(Android APK)或网页脚本,找出内置的第三方 SDK 名称(常见的有统计/广告 SDK)。

如何保护自己(可操作建议)

  • 使用临时或专门的注册联系方式(邮箱/手机号)来隔离个人主账号。
  • 在可能的情况下,拒绝或延后授权高敏感权限(通讯录、短信、通话记录)。
  • 关键场合使用隐身窗口或仅在可信设备上登录。
  • 对于频繁要求绑定通讯录/社交账号的平台,优先考虑直接联系官方客服询问用途并保存对话记录。
  • 定期检查并清理不常用 App 的权限与已登录账户;使用系统权限功能撤销权限。
  • 若收到疑似由平台外泄导致的骚扰短信/电话,保存证据并向运营商或监管机关投诉。

如果你想要我帮忙

  • 我可以根据你提供的抓包导出、截图或隐私政策文本,帮你把证据整理成可下载的证明包(时间轴、请求解析、对照表)。
  • 我也可以把你想要发送给平台的“数据访问/删除/停止共享”邮件草稿写好,方便你直接复制粘贴发送。
  • 若希望进一步公开曝光,建议先保留所有原始证据(请求体、页面快照、邮件头),并咨询律师或消费者协会以规避法律风险。