实名社交App被指盗通讯录推广:回称遭黑客攻击
新浪科技讯 1月4日上午消息,12321举报中心近日发微博称:接到大量用户举报“tataUFO”App私自盗取用户通讯录,进行推广。经过核实查证将侵犯用户权益App“tataUFO”联合安全百店106家成员单位(包含百度、网易、豌豆荚、安智等)进行下架处置。
据了解,12月30日,有用户收到内容为“××(该朋友的名字),××学校(用户所在的学校)的同学邀请你加入tataUFO。”的短信。同时,短信中附有软件的下载地址。在接到多位用户相似举报后,tataUFO被12321举报中心要求下架。
tataUFO是定位于校园的实名社交软件,主推校园实名场景社交和跨校交流,在大学校园中有较多用户。
对此事件,tataUFO方面表示:年末团队都在团建,并未向用户违规进行通讯录推广,此前推广活动都是线下活动,此次是部分服务器于近日遭受黑客攻击,造成了短信后台部分的短信流量的损失和部分用户数据的损失。
tataUFO方面称,12月30日下午,tataUFO的一台服务器遭到黑客的攻击,一来自境外的IP地址暴力破解了一台从服务器的密码,破解后执行了一部分历史脚本,包括调用通信录短信邀请好友的全部接口脚本,向用户的通讯录联系人发送了短信信息,造成了骚扰。同时也备份了redis配置文件。黑客安装并执行了比特币挖矿程序,清空了redis中的全部数据,并清空在redis上产生的其他相关记录。
tataUFO技术总监解释说:“用户授权绑定通讯录以后有一个功能为向通讯录中联系人发送邀请,但该功能的前提是用户自主操作并向好友发送短信。服务器中存在带有固定文案的代码,其中存在一个有bug的程序——如果不带参数即指定用户(例如:谁给谁发短信邀请),将给所有的通信录号码群发。该程序早已经停用废弃,但由于技术人员疏忽未进行删除。需要强调的是前文提到的“指定用户”是需要用户自己选择并操作的。黑客入侵了一台服务器,并进行了盲操作,执行了该程序在列的一部分程序。”
不过此次信息骚扰事件波及了不少用户,由于涉及读取用户通讯录信息,此事激发了很多用户的反感,不少用户在微博晒图抱怨,称tataUFO盗取用户通讯录。
关于通讯录信息, tataUFO的负责人解释称,应用不会在用户未授权情况下获取通讯录信息,也不会擅自发送推广短信。用户的通讯录并非App自动获取,而且是经用户授权之后才进行绑定。该操作是完全符合工信部的规定以及安卓、ios各大应用商店审核许可合法合规的。
此外,tataUFO方面向新浪科技表示,已于第一时间向12321举报中心申诉,并愿意配合相关部门进行核查。还于1月1日在官方微博做出回应,发布了用户致歉信,向收到收到黑客攻击影响的用户致歉,向受到影响的用户致歉并对其诉求进行一一解决。
相关分析人士称,实名社交中最为敏感的部分是资料泄露,在更早之前,职场社交关系软件Linkedin遭黑客攻击、致使资料泄露一事也一度引起过网络热议。