社交 app 多有通過(guò)通訊錄匹配好友的功能。攻擊者可以偽造本地通訊錄來(lái)獲得手機(jī)號(hào)到微博用戶賬號(hào)的關(guān)聯(lián)。

比如先偽造通訊錄有 xxxx00001 到 xxxx010000 手機(jī)號(hào)匹配好友，再偽造 xxxx010001 到 xxxx020000 手機(jī)號(hào)匹配好友，不斷列舉，就能關(guān)聯(lián)出微博 id 到手機(jī)號(hào)的關(guān)系。

新浪微博表示已經(jīng)上報(bào)給司法機(jī)關(guān)，稱部分用戶使用了和其他平臺(tái)相同賬號(hào)密碼，可能導(dǎo)致其微博賬號(hào)面臨被盜的風(fēng)險(xiǎn)。

但黑客出售的信息包括了性別、位置等非公開(kāi)信息，這些信息無(wú)法通過(guò) API 匹配通訊錄返回。這些微博用戶數(shù)據(jù)究竟來(lái)自何處引發(fā)了很多擔(dān)憂。