3.问大家一个问题：<

问大家一个问题：

一些 app 可以让用户授权，获取 ta 的通讯录，让用户去添加 通讯录里手机号对应的用户为自己的好友。那么：

如果某用户，在自己手机通讯录里穷举了某个号段所有手机 号，并每个手机号对应一个唯一的姓名； 那么，该用户，是否就可以拿到 app 里，账号和手机号有关 联关系的用户信息（该用户的真实手机号）了？

如果不可以，是因为什么策略？ 如果可以，应该设计什么样的策略来规避这个问题？

（截图为：以图片社交软件「flow」做的测试）

评论区：

1 : good point.

2 : 好问题，我没仔细想，先丢几个对抗的思路： 1. 对通讯录大于 xx 条目的用户，一次只返回 x 条数据（哪怕是真实用

户，一次返回过多也没什么帮助，用户懒得这样关注），把关注融进产品的其他环节里； 2. 检测手机的特征，比如：是否

有插卡、卡的号段、手机特征码、手机上安装的软件等； 3. 对用户通讯录特征做分析（比如姓名特征、通讯录号码特征 等）判断是否「恶意」用户。 应该思路不少，作为对抗，非常重要的一点是：云端黑箱处理。发现恶意用户后，不要封 号，而是返回脏数据集。

3 : 当量集中到一定的层次的时候可以做反向递归，比如手机号被多少人存成了某个名字，依据通讯录递归两次，计算姓名 重合率即可。黑灰产在有这类特征的伪造下想要做大成本还是很高的。

4 : 持续关注这个问题的答案

5 : 这样岂不是容易没有隐私 或者朋友把某个人的名字拼写错了 对方也就匹配不到了