社交 app 多有通過(guò)通訊錄匹配好友的功能。攻擊者可以偽造本地通訊錄來(lái)獲得手機(jī)號(hào)到微博用戶(hù)賬號(hào)的關(guān)聯(lián)。 比如先偽造通訊錄有 xxxx00001 到 xxxx010000 手機(jī)號(hào)匹配好友，再偽造 xxxx010001 到 xxxx020000 手機(jī)號(hào)匹配好友，不斷列舉，就能關(guān)聯(lián)出微博 id 到手機(jī)號(hào)的關(guān)系。 新浪微博表示已經(jīng)上報(bào)給司法機(jī)關(guān)，稱(chēng)部分用戶(hù)使用了和其他平臺(tái)相同賬號(hào)密碼，可能導(dǎo)致其微博賬號(hào)面臨被盜的風(fēng)險(xiǎn)。 但黑客出售的信息包括了性別、位置等非公開(kāi)信息，這些信息無(wú)法通過(guò) API 匹配通訊錄返…