就可以反推手机号了( 二 ) _小知识

目前甚至不需要进入暗网，你在网上轻松就可以搜到每月更新的手机归属地数据库，字段包括省份、城市、运营商等信息。即使同一个地方有多个HLR码，因为前三位和后三位数字已经被泄露，百度一下就能找到多个查空号的网站，去掉空号之后，得出真正有人使用的号码，真的不难。
假如私生饭知道某个小姐姐常住北京，根据数据库筛选结果，158移动目前北京有230个号段，那么待筛选号码就只剩下230个。而其他国内大型城市以158开头的号段，上海就有210个，西安只有108个。如果明星是在二线城市突然出名爆红，那么搜索范围就更小了。
所以大家可以明显看到，其实各个大厂隐藏中间四位号码的HLR并没有太多意义，如果有人拿着你的邮箱居心叵测想获得你的号码，尤其是你不在北上广深这种一线城市生活，其实是非常容易被破解的。
而如果暗网黑产一旦盯上了某个明星，就可以通过上述方法，编写自动化的脚本，批量查询，比对获取公众的敏感信息，甚至可以变卖明星或者私人号码来牟利！对于多数小姐姐来说，公开一个邮箱地址，可能就是噩梦的开始。
小池建议，第一，大厂们建立监管规范，统一隐去手机号码的规则，统一标准才是最好的安全保护方式。
第二，这个统一的标准，应该是将手机号码的中间四位和后面三位，都做部分的隐去处理。这样即使通过HLR破解了中间四位，后三位要继续破解也会带来更大的难度。这样就可以保护隐私，避免被恶意人员根据号码规则去穷举与推测。
但是，无论如何，电话号码的数字是有限的，只要暴力穷举，都不是没有可能，这个时候就要考验各大厂防批量攻击的风控能力了。小池在这里提醒大家，工作的需要公开的邮箱和自己注册各网站生活用的邮箱一定要分开，这样才能避免泄露。如果你真的喜欢在各个好人一生平安的网站留下足印，请千万不要留下自己注册淘宝京东支付宝时的邮箱。
幸运的是，小池测试多位明星和网红的邮箱，都没有用自己联系工作邮箱注册一般的网站。只有一位知名网红真的被小池查到了手机，在这里就不公开了。
如果你看完上面的那些技术分析就想开始蠢蠢欲动，想去搜一下你钟爱小姐姐的手机号，那么小池推荐你读一下刑法的相关条例。
刑法第二百五十三条：【侵犯公民个人信息罪】违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。
其实在小池讨论这个话题之前，骗子肯定已经比你更早知道了这些套路。所以在这里小池当然不是为了传播骗术，而是为了给大家一个提醒。请大家积极分享，推动各互联网大厂们去修改现有的漏洞。毕竟每一个转发，都会给我们自己和爱豆一个更好的个人环境。
最后，小池教大家一些如何分辨靠谱的、大概率不会泄露个人隐私APP应用的小技巧：
第一：这个应用找回密码的业务流程，是否存在可以被绕过的情况？安全的产品，跳转逻辑的设计应该是合理严谨的。
第二：尽量选择那些对客户敏感信息处理更加严格的公司，比如苹果和谷歌，只显示后两位，让骗子来好好猜猜你是谁。
第三：一定要看这个应用，在找回密码时的身份验证环节，针对批量暴力穷举攻击，是否有足够高强度的管控手段？包括图像分辨验证码、语音验证码、历史动态问题验证等等。
最后小池想说，在安全攻防领域，我们始终应该多一点心眼。毕竟你一个不小心，就可能导致你多个平台的账号被泄露，小池也会一直给大家持续更新网络安全方面的内容，为大家科普更多有意义的内容，希望大家能多多支持。
我是科技BB机，科学分析，实力bb，感谢您的阅读。