社交 app 多有(you)通過通訊錄(lu)匹配(pei)(pei)好(hao)友的(de)(de)(de)功能。攻擊者(zhe)可以偽造(zao)(zao)本地通訊錄(lu)來獲(huo)得(de)手(shou)機號(hao)(hao)(hao)到(dao)微(wei)(wei)博用戶賬號(hao)(hao)(hao)的(de)(de)(de)關聯。 比(bi)如先偽造(zao)(zao)通訊錄(lu)有(you) xxxx00001 到(dao) xxxx010000 手(shou)機號(hao)(hao)(hao)匹配(pei)(pei)好(hao)友，再偽造(zao)(zao) xxxx010001 到(dao) xxxx020000 手(shou)機號(hao)(hao)(hao)匹配(pei)(pei)好(hao)友，不斷(duan)列舉，就能關聯出微(wei)(wei)博 id 到(dao)手(shou)機號(hao)(hao)(hao)的(de)(de)(de)關系。 新浪微(wei)(wei)博表示已經上(shang)報給司法(fa)(fa)機關，稱部分用戶使用了和其他(ta)平臺相同(tong)賬號(hao)(hao)(hao)密碼，可能導致其微(wei)(wei)博賬號(hao)(hao)(hao)面臨被盜(dao)的(de)(de)(de)風險(xian)。 但黑(hei)客(ke)出售(shou)的(de)(de)(de)信息(xi)包括了性(xing)別、位置等非(fei)公開信息(xi)，這些信息(xi)無法(fa)(fa)通過 API 匹配(pei)(pei)通訊錄(lu)返…