就可以反推手机号了 _小知识

从创4到青你3，有你们pick的小哥哥吗？我们鼓励理性追星，但是很多刚出道的小哥哥小姐姐们在接受媒体采访的时候，都在吐槽私生饭干扰自己私人生活，严重的甚至于不停拨打手机发送短信，的确让大家不齿。
其实，偶像们的手机号很有可能是自己不小心泄露出去的。现在网上有很多明星的工作邮箱，这分分钟可能导致自己的手机账号泄露！还有一些热爱大自然，喜欢收集种子的朋友们也喜欢在网站论坛乱留自己的邮箱地址，请注意，这就是你泄露个人隐私的开始。
这一期，小池就来讲解如何通过邮箱反推电话号码。小池在做这一期节目的时候发现，大部分互联网大厂，对电话号码保护的方式都是错的！请大家看完后一起转发和传播来推动大厂们对于这个问题的重视。保护个人隐私，我们人人有责。
首先，如果单凭猜测，11位数字的手机号码，理论上有1000亿个号码，你去猜一千亿分之一的概率，几乎和你PICK的小姐姐偏偏也只喜欢你的概率是一样的。
我们绝大部分人生活中会使用私人手机号和邮箱来绑定各种网站。而且因为懒，我们在所有网站注册的，都很有可能是同一个邮箱。毕竟我们大多数人都配不上保姆和经纪人。
这其实就给了别人通过你邮箱反推你手机号的机会。
【就可以反推手机号了】问题出在“忘记密码”的环节。为了安全，很多网站选择了手机+邮箱双认证。也就就说，你输入邮箱后，点忘记密码，可以选择发送验证短信到手机去证明你的身份。这里，就出问题了。因为它需要确定你的号码才能给你发短信，在这个地方就会暴露你的号码。
这里就以最多明星网红使用的微博为例。选择忘记密码，填入邮箱。
接下来，你就能看到这个邮箱注册微博时，绑定的手机号了！这里显示的是头三位和后两位，看上去还是挺安全的。
接着我们再打开京东，忘记密码，比微博多了一步，可以选择用手机验证。然后我们就看到了显示头三位和后三位的手机号。还比微博多了一位。
这里可以说这两个网站是隐私安全的猪队友。我们看看其他网站。QQ，只显示头三位。支付宝，显示头三位+末二位。网易邮箱，只显示末三位。
但是，你隐藏得再辛苦，也架不住京东和微博送人头啊。而且，即便有的网站是显示两三位数，但有的是显示头三位，有的显示末三位，组合起来，还是相当于白给！请把“猪队友”打在公屏上。
这个屏蔽位数完全由企业决定，并没有统一标准。做得再好的网站，其他网站如果不抄作业，相当于一起给卖了！
这里也说一下B站，它的模式是邮箱和手机分开，如果你注册的是邮箱，点击忘记密码，那只能登陆邮箱去找回，不会涉及手机号。虽然避免了手机号泄露，但是也有其他的安全风险，感兴趣的发个弹幕，我们后面再展开细说。
接下来，我们发现最重灾区的是旅游网站，携程和去哪，都是只隐去了中间四位！明星注册一个旅游网站买机票是很正常的事，这些旅游网站反手就把小姐姐们卖了！
为什么这么说？因为按我国的手机号码规律，只隐藏中间四位等于没隐藏！

文章插图
这里小池给大家科普一下。中国大陆目前已有的手机号码都是以1开头，共11位数，前7位数字通常称为手机号段，用来区分运营商和归属地。
例如下图中的号码：1XX-YYYY-ZZZZ 。

文章插图
第一到三位数表示电信运营商（1XX）；第4~7位数表示地区号码，即归属地（YYYY）；第八到十一位数表示客户号码（ZZZZ）。
其实，最主要的安全风险就在于运营商分配的HLR识别码，也就是归属地上。HLR中文名叫归属位置寄存器。简单理解，HLR有点像手机里的区号，但是一个地区可以有多个HLR 。中国大陆三大运营商就是按照地域分配HLR的，这里面，就有迹可循了。
假设一个极端些的例子，已知某个明星属地是黑龙江大庆的，手机号是158****8888，那么他的手机号大概率是15845098888 。因为大庆的移动158号段只有一个4509段位。
其中，158代表的是运营商移动公司，尾号8888是用户号码。而中间模被各种应用糊掉的四位数，就是我们说的“区号”，HLR识别码，由手机归属地决定。记录了大量重要的客户数据，包括基本资料、套餐、位置信息、路由以及业务状态数据等等。