功能设定解析:为何需要禁用通过手机号搜索用户的功能

为了让熟人间建群更便捷,Letstalk IM 默认开通了「通过手机号查找」的功能。然而在涉及 Web3 空投、记者爆料或 DAO 投票等情境下,手机号泄露会导致链上身份与现实身份被迫挂钩,进而引发社会工程学攻击、短信骚扰乃至 SIM 卡劫持等风险。因此,关闭此功能是为了投入最小,回报最大的隐私基线操作。

基于经验数据:从十个两千人大群中随机抽样200份名片分析,若设置手机号可见,用户遭遇陌生人私信的概率变化。大致高出 4 至 6 倍(具体复现流程请参阅文章结尾部分)。

功能设定解析:为何需要禁用通过手机号搜索用户的功能
功能设定解析:为何需要禁用通过手机号搜索用户的功能

操作指引:三端最短入口

适用于 iOS 和 Android 系统的移动客户端

  1. 底栏「我的」进入页面右上角的「⚙️ 设置」菜单,然后点击「隐私」→「手机号可见性」。
  2. 将「开启后,他人可通过您的手机号码查找并添加您。当滑块处于关闭状态时,界面会立刻呈现出“已隐藏”的状态提示。
  3. 如果滑块呈现灰色状态且无法点击,这意味着您的账号目前必须使用 DID 进行身份验证才能登录。,系统已自动隐藏,不需要任何进一步的操作。

适用于桌面平台(macOS与Windows系统)

  1. 在左侧栏点击头像 →「Settings」→「隐私与安全」→「电话号码可见性」。
  2. 取消勾选「允许他人通过手机号码找到我」。
  3. 修改内容将自动同步到手机端,无需重启应用。

网页端(Web Client)

目前最新的网页版更新不提供入口将被关闭,界面仅呈现只读状态。如果需要进行修改,只需临时登录任意一个原生客户端,按照上述步骤操作即可。

版本回退与验证:怎样确认操作已彻底生效

关闭后,让一位未互存手机号让同事依次点击「添加朋友」和「手机号搜索」,输入你的号码后,系统应该会显示「用户不存在如果搜索功能依然可用,建议首先排查以下方面:

  • 是否开启了「多端同时在线」——由于旧版本客户端的缓存可能存在 30 至 120 秒的延迟,建议尝试强制刷新页面或直接重启应用程序。
  • 请确认是否已将手机号码关联至其他DID账户;虽然Letstalk支持单号码绑定多个账号,但各账号的搜索索引是相互隔离的。

特殊情况与权衡考量:什么情形下不应关闭该功能

场景关闭代价建议
面向中小企业的内部通讯录HR 批量拉群失败,需手动 @建议保留该选项为开启状态,同时将「允许被拉群」的功能设置为仅联系人
致力于获取Web3空投资源的专业人士不再具备「手机白名单」项目的空投领取资格为了评估空投的价值,建议的操作流程是:先临时开启,领取完毕后立即关闭。
家长如何对青少年账号进行监管父母不能利用手机号码来恢复子账户可以改用「家庭守护二维码」进行添加,这样就不用透露手机号码了。

第三方 Bot 协作机制:遵循最小权限原则

部分社群管理机器人提供手机号抽奖及短信签到功能,即便关闭了搜索可见性,这些机器人依然可以用户主动授权尽管获取了号码,却难以通过该号码进行反向查询。如果活动规定必须支持「可搜索」功能,官方文档给出的建议是:

先临时激活 → 执行完相关操作 → 返回设置界面停用 → 进入「隐私日志通过该功能可一键清理过去 30 天内的搜索记录缓存。

验证方法:活动结束后让管理员导出「可见性变更 CSV」,若「searchable=0」且时间戳晚于活动结束,即证明已复位。

故障分析:导致内容依然能被搜索到的三个根本原因

  1. 群名片泄露:你在拥有 2000 人的超级群组里激活了“群匿名然而,由于账号依然关联手机号,网络爬虫能够利用群成员名单进行大规模的撞库攻击。为缓解这一风险,建议将群内的手机号信息设置为仅管理员可见
  2. Space Station 镜像加载存在滞后解析:只读镜像节点采用每6小时一次的同步机制,因此在服务关闭后的2小时内,其内容仍有被外部搜索引擎收录的风险。建议措施:在「隐私」→「Space Station然后手动点击「立即刷新」按钮。
  3. 旧版本缓存问题成因:对方桌客户端版本低于 v7.2.0,导致本地 SQLite 数据库未能同步更新。临时解决方案:建议对方重新启动应用或升级至最新版本。
故障分析:导致内容依然能被搜索到的三个根本原因
故障分析:导致内容依然能被搜索到的三个根本原因

适用与不适用事项对照表

强烈建议关闭

  • 包括记者、律师以及 DAO 的核心团队成员
  • 场外交易(OTC)商户、参与空投领取的用户
  • 所有已经开启DID登录功能的人员

可权衡保持开启

  • 企业内部通讯录功能的依赖项
  • 家长与青少年监护人账号的绑定关系
  • 参与线下活动时,签到环节需通过短信验证码确认身份。

五条最佳实践核查清单

  1. 请在注册首日直接将其关闭,后续视具体情况再评估是否临时启用。
  2. 建议每个季度检查一次「隐私日志」中的「搜索可见性变更」栏目,确认是否存在未被授权的状态修改。
  3. 如果打算参与空投活动,请提前在日历中设置提醒,按照开启、领取、并在24小时内关闭的顺序执行。
  4. 若公司IT部门有此要求,请联系HR部门提供关于「手机号可见范围」的书面界定说明仅内部域账号可搜。
  5. 关闭后顺手把「群内手机号」调整为仅管理员可见,以此避免撞库攻击。

支持复现测试:针对搜索概率进行的对比分析实验

实验流程:首先注册10个新账号,其中5个启用搜索功能,另5个禁用;其次,让它们加入同一个拥有2000人的公开群组;接着,借助外部爬虫程序每天执行100次撞库测试;最后,记录一周内各账号收到陌生人私信的数量。根据经验数据,启用搜索的账号平均收到4.8条信息,而禁用的仅有0.6条,两者相差约4至6倍。需注意,不同设备间的差异可能造成±1条的数值波动。

各版本间的区别及迁移指南

在v7.1.0版本之前,若关闭搜索可见性,系统会同时关闭「通过手机找回密码」。自 v7.2.0 版本开始,两者实现解耦。对于老用户而言,若此前已关闭该功能,升级后必须手动重新关闭,否则系统将默认恢复为「开启」状态。查看路径:设置 → 隐私 →「手机号搜索检查滑块是否依旧呈现灰色禁用状态;假如它被重置,请参照本文指引重新执行关闭操作。

常见问题解答(采用 FAQPage 结构化数据标记)

如果该功能已关闭,是否还支持通过手机号码进行登录?

可以实现。登录和搜索属于两个独立的权限设置,关闭其中一项仅会阻止被他人检索,且不会妨碍本人进行账号登录或密码找回操作。

DID 账号是否也必须关闭呢?

当采用 DID 身份验证登录时,相关功能将被系统强制隐藏,设置页面中的对应开关显示为灰色且不可点击,用户既不需要也不能手动将其关闭。

该功能停用后,群组内保留的手机号码信息是否会随之清除?

这种情况不会出现。因为群名片的相关信息受到「群内手机号可见性若要对此进行独立管控,必须将其权限进一步限定为“仅管理员可见”。

收尾:下一步行动

仅需10秒即可关闭手机号搜索功能,从而大幅减少遭遇社交工程攻击和广告骚扰的风险。阅读完毕后,请立刻前往Letstalk的隐私设置界面,将手机号搜索开关关闭,并截图保存该页面以备后续核查。对于Web3社群管理者而言,应将“不可被搜索”列为入群须知,结合NFT准入机制及链上红包活动,在吸引用户的同时确保社区安全。

📺 相关视频教程

Letstalk增删好友及批量发送工具