科普 | 手機號遮住中間四位****並沒有什麼卵用，銀行卡卡號更是一樣！！！

先舉個直白的例子。

你的收件地址加了*，顯示為：

中國北京市，**************，三川大廈A座七層。

如果你不在北京，且你不會用百度，這個*號或許真的很管用，保護了你的隱私。

但不如果呢？

之前微信公眾號卡神號·小卡菌的一篇文章《招行信息泄露事件已不再是單純的泄露信息那麼簡單！》提到了手機號碼加星號的隱患問題。

要深入探討此問題，我們首先要來了解中國目前手機號碼的構成。

手機號碼的學名叫移動用戶號碼簿號碼（Mobile Directory Number），即MDN號碼。

以下內容參考自百度百科：

MDN號碼的結構如下：CC + MAC + H0 H1 H2 H3 + ABCD其中：

【CC】：國家碼，中國使用86。

【MAC】：移動接入碼，如中國移動的188，中國聯通的186，中國電信的189等。

【H0 H1 H2 H3】：HLR識別碼（Home Location Register），由運營商統一分配。

【ABCD】：移動用戶號，由各HLR自行分配。

文中提到的安全風險就在運營商分配的HLR識別碼上。因為我國三大運營商是按照地域分配HLR的，而這個與地域強相關的數據被打了星號，是很容易被反查出來的，都是公開的數據。

舉個極端些的例子，已知某人屬地是黑龍江大慶的，手機號是155****8888，則他的手機號大概率是15545098888。原因是大慶的聯通155號段只有一個4509。

即便當地有多個HLR，也只是一個短時間內即可窮舉出的問題，並非10000個裡面去猜。

如果知道了某個人手機號尾號是888888，又知道了歸屬地，基本就和知道完整號碼一樣了。

當然，最後4位打碼更無意義，畢竟我的號碼大都是尾號一樣的。

類比，銀行卡卡號雖然看似長，但固定的位數也更多，同時還要有一個校驗位，這也就導致了，窮舉卡號並非難事。並且某些行的信用卡卡號是按順序發行的，儲蓄卡也是在連續或相近號段中按順序的。尤其當某銀行的渣IT提供了不限次數的驗證卡號是否正常狀態的API介面時。

再舉個例子，比如你同事剛開開心心公司門口辦了一張某行30周年的儲蓄卡。消費小條曬到朋友圈，顯示的銀行卡號是：

621483****2788

你只需要再去該網點辦一張同款，中間六位*號八九不離十會和他一模一樣的。然後你就可以給他轉上5.20元表達下暗戀之情了。