1月4日上午消息,12321舉報中心近日發(fā)微博稱:接到大量用戶舉報“tataUFO”App私自盜取用戶通訊錄,進(jìn)行推廣。經(jīng)過核實查證將侵犯用戶權(quán)益App“tataUFO”聯(lián)合安全百店106家成員單位(包含百度、網(wǎng)易、豌豆莢、安智等)進(jìn)行下架處置。
據(jù)了解,12月30日,有用戶收到內(nèi)容為“××(該朋友的名字),××學(xué)校(用戶所在的學(xué)校)的同學(xué)邀請你加入tataUFO。”的短信。同時,短信中附有軟件的下載地址。在接到多位用戶相似舉報后,tataUFO被12321舉報中心要求下架。
tataUFO是定位于校園的實名社交軟件,主推校園實名場景社交和跨校交流,在大學(xué)校園中有較多用戶。
對此事件,tataUFO方面表示:年末團(tuán)隊都在團(tuán)建,并未向用戶違規(guī)進(jìn)行通訊錄推廣,此前推廣活動都是線下活動,此次是部分服務(wù)器于近日遭受黑客攻擊,造成了短信后臺部分的短信流量的損失和部分用戶數(shù)據(jù)的損失。
tataUFO方面稱,12月30日下午,tataUFO的一臺服務(wù)器遭到黑客的攻擊,一來自境外的IP地址暴力破解了一臺從服務(wù)器的密碼,破解后執(zhí)行了一部分歷史腳本,包括調(diào)用通信錄短信邀請好友的全部接口腳本,向用戶的通訊錄聯(lián)系人發(fā)送了短信信息,造成了騷擾。同時也備份了redis配置文件。黑客安裝并執(zhí)行了比特幣挖礦程序,清空了redis中的全部數(shù)據(jù),并清空在redis上產(chǎn)生的其他相關(guān)記錄。
tataUFO技術(shù)總監(jiān)解釋說:“用戶授權(quán)綁定通訊錄以后有一個功能為向通訊錄中聯(lián)系人發(fā)送邀請,但該功能的前提是用戶自主操作并向好友發(fā)送短信。服務(wù)器中存在帶有固定文案的代碼,其中存在一個有bug的程序——如果不帶參數(shù)即指定用戶(例如:誰給誰發(fā)短信邀請),將給所有的通信錄號碼群發(fā)。該程序早已經(jīng)停用廢棄,但由于技術(shù)人員疏忽未進(jìn)行刪除。需要強(qiáng)調(diào)的是前文提到的“指定用戶”是需要用戶自己選擇并操作的。黑客入侵了一臺服務(wù)器,并進(jìn)行了盲操作,執(zhí)行了該程序在列的一部分程序。”
不過此次信息騷擾事件波及了不少用戶,由于涉及讀取用戶通訊錄信息,此事激發(fā)了很多用戶的反感,不少用戶在微博曬圖抱怨,稱tataUFO盜取用戶通訊錄。
關(guān)于通訊錄信息, tataUFO的負(fù)責(zé)人解釋稱,應(yīng)用不會在用戶未授權(quán)情況下獲取通訊錄信息,也不會擅自發(fā)送推廣短信。用戶的通訊錄并非App自動獲取,而且是經(jīng)用戶授權(quán)之后才進(jìn)行綁定。該操作是完全符合工信部的規(guī)定以及安卓、ios各大應(yīng)用商店審核許可合法合規(guī)的。
此外,tataUFO方面向新浪科技表示,已于第一時間向12321舉報中心申訴,并愿意配合相關(guān)部門進(jìn)行核查。還于1月1日在官方微博做出回應(yīng),發(fā)布了用戶致歉信,向收到收到黑客攻擊影響的用戶致歉,向受到影響的用戶致歉并對其訴求進(jìn)行一一解決。
相關(guān)分析人士稱,實名社交中最為敏感的部分是資料泄露,在更早之前,職場社交關(guān)系軟件Linkedin遭黑客攻擊、致使資料泄露一事也一度引起過網(wǎng)絡(luò)熱議。