近日，獵豹移動收到用戶反饋：瀏覽某民營醫院網站后，隨即收到推銷短信。經過技術分析得知，運營商存在查詢漏洞，多家民營醫院利用該漏洞獲取網民資料，在網站上放入相關代碼之后，只要用戶瀏覽該網站，就可以獲取用戶的手機號，可造成嚴重隱私泄露。

在網上搜索，類似案例不少，都是瀏覽了民營醫院的網站之后，收到了推銷短信或電話：

這些網站通常從事性病、皮膚病、人工流產等個人隱私極強的醫療業務，如果僅僅通過用戶的瀏覽行為來獲取其手機號這樣的私密信息，那支付密碼、信用卡帳號等是否也會帶來泄露危險？獵豹移動對其使用的技術進行了深入研究。

民營醫院的網絡營銷

國內某些民營醫院的口碑很差，幾乎無法獲得正常的客流，只能通過搜索引擎推廣、論壇營銷等手段“購買用戶”，甚至成為各大搜索引擎的大客戶。在購買廣告之后，醫療廣告只能被動顯示，如果能獲取更詳細的用戶信息——如手機號，有利于其進一步的醫療推廣，這就促生了“獲取瀏覽網站用戶手機號”的灰色技術。

手機號碼怎樣被獲取

獵豹移動的研究人員分析了醫院網站頁面，發現其引用了奇怪的鏈頁面：

該頁面中的內容，不僅包含了獲取用戶手機的接口代碼，還有代理商的廣告：

進一步的分析，并且結合其它幾家代理商的接口分析，它們是通過查詢網站的接口來獲取手機號的。該網站屬個人網站，并不是運營商旗下的網站。但通過以往的漏洞報告，可以知道他是利用了運營商的一些手機查詢接口（漏洞），來動態獲取用戶手機號的。

到此，我們可以明確的幾件事情：

第一，只有當用戶的流量走的是手機網絡時，這類獲取號碼的方式才會成功。用WIFI或PC，都不會中招。

第二，這種方式并不是通過病毒或木馬來獲取用戶手機號，而是因為對方在網站植入了查詢代碼，以獲取更多的隱私資料。

第三，民營醫院（或其它有同類營銷需求的機構），先在搜索引擎上做推廣，再配合這種手機號統計服務，可以獲取到瀏覽了他們頁面移動端用戶的手機號。

用戶應該如何保護隱私

該漏洞已經存在一段時間，那么在相關部門彌補漏洞之前，我們可以做哪些事情保護自己的隱私：

第一，搜索醫療、支付等有關個人關鍵信息時，小心謹慎，分清楚推廣鏈接與普通鏈接，分清楚正規醫院網站與口碑不好的民營醫院。

第二，搜索此類關鍵信息時，若怕手機號泄漏，可停用手機網絡，剛用WIFI網絡，或改用PC端查詢。