保定用过的手机号码千万别随意处置，小心被黑客利用

近有研究人员发现了一些与回收手机号码有关的隐私和安全隐患，这些号码可能被滥用来实施各种黑客攻击，包括账户窃取、网络钓鱼和垃圾邮件攻击，甚至阻止受害者注册在线服务。

在抽样回收的调查中，有近66%被发现与流行网站上的先前所有者的在线帐户相关联，黑客有可能通过简单地恢复与这些号码相关联的帐户来进行帐户劫持。

研究人员说:

攻击者可以通过在线号码转换界面上显示的可用号码进行循环，并检查其中是否与先前所有者的在线帐户相关联。如果是这样，攻击者便可以获取这些号码并重置帐户密码，并在登录时接收并正确输入通过SMS发送的OTP。

这些发现是对美国电信专业T-Mobile和Verizon Wireless的新订户可用的259个手机号码样本的分析的一部分。这项研究是由普林斯顿大学的Kevin Lee和Arvind Narayanan教授进行的，后者是信息技术政策中心的执行委员会成员之一。

手机号码回收是指将弃用的手机号码重新分配给运营商的其他新用户的标准做法，据美国联邦通信委员会(FCC)估计，美国每年有3500万个手机号码被弃用。

但是，如果攻击者通过在两个运营商提供的在线界面中随机输入这样的号码进行反向查找，并且遇到回收的号码后，购买它们并成功登录到该号码所对应的受害者帐户，这也可能带来严重的危险。

该攻击的核心策略是，运营商在其预付费接口上对更改号码的可用号码没有查询限制，除了显示“完整的号码，这使攻击者能够在确认号码更改前发现回收的号码。”

而且，已将100个采样手机号码标识为与过去曾涉及数据泄漏的电子邮件地址相关联，从而允许第二种帐户劫持绕过基于SMS的多因素身份验证。在第三次攻击中，259个可用号码中的171个被列在了用户搜索服务（例如BeenVerified）上，并在此过程中泄漏了先前使用者的敏感个人信息。

研究人员解释说:

一旦他们获得了先前使用者的号码，他们就可以实施假冒攻击来进行欺诈，或者挖掘出先前使用者积累的个人身份信息(PII)。

个人身份信息（Personally identifiable information ,PII）有多种形式，在许多情况下，它是在你没有意识到的情况下创建的。这些数据可用于了解有关你的事情，你的习惯，你的兴趣，并可被恶意行为者货币化或用于窃取你的身份或黑掉你的帐户。多因素认证提供商Okta在其《2020年隐私成本报告》中列出了13类可被视为PII的数据：

·