针对短信 OTP 的主要攻击方法是“ sim swap ”并接管目标的电话号码。如果该站点在这种情况下提供了完整的编号，他们将准确地向攻击者提供他们破坏所使用的安全性所需的信息。

（提意见：一般来说，需要更多的个人信息，如果你要社会工程电信人员换SIM卡。在某些地方和某些运营商下，这比这更难，要求出示ID但也有一些情况下，如果电信人员与攻击者勾结，即使加强了保护，也只需要电话号码。）

这与“漏洞”无关。这是关于个人身份信息 (PII)。这也是为什么信用卡号码也没有在网站上完整显示的原因。

任何经过您的屏幕、摄像机记录等的人都会看到这些信息。并且没有必要显示整数。它只是作为对用户的提醒。

如果列出了完整号码，那么我可以访问您的帐户、请求新密码并知道您的电话号码。最后两位数字是一种权衡，允许您知道其（可能）您的号码，而无需将您的电话号码泄露给任何想在网站上查看它的人。

好吧，我们所有人都同意的是，通过显示完整的电话号码，应用程序会泄露有关用户的敏感信息。我不知道您所在国家/地区适用哪些法规，但是根据GDPR欧洲法规，电话号码被视为个人信息，因此应适当处理。这意味着如果向其他用户透露电话号码，则应用程序/网站不符合 GDPR。同样，我不知道您的具体情况适用哪些法规，但我认为在开发应用程序时考虑到这一点很有用。

现在让我们考虑恶意用户 TRUDY 以某种方式登陆 OTP 屏幕并出现一条消息 A Otp was send to +30 0000000001TRUDY 可以用它做什么？我能想到4个场景

1. sim swap如gowenfawr所述。这可能有不同的成功杠杆，具体取决于每个运营商实施的 SIM 卡交换过程。
2. 社会工程学。像您的公司一样发送消息Your_company.com Click on the link to insert otp/password和其他网络钓鱼电子邮件。
3. 开源情报。电话号码的独特性足以帮助攻击者在社交媒体和其他平台上对用户进行开源调查，这些调查可用于鱼叉式网络钓鱼电子邮件或回答诸如From what country/state are you from. 当然，这不是最有可能发生的情况，需要 TRUDY 专门为该用户投入时间。

总而言之，只要 TRUDY 不能使用电话号码在您的系统中获得进一步的访问权限，我认为这不是一个漏洞。