?

實名社交App被指盜通訊錄推廣:回稱遭黑客攻擊

文章分類:動態資訊 發布時間:2016-01-04 原文作者:tbkj 閱讀( )

12321舉報中心近日發微博稱:接到大量用戶舉報“tataUFO”App私自盜取用戶通訊錄,進行推廣。

  新浪科技訊 1月4日上午消息,湖北軟件開發,襄陽軟件開發12321舉報中心近日發微博稱:接到大量用戶舉報“tataUFO”App私自盜取用戶通訊錄,進行推廣。經過核實查證將侵犯用戶權益App“tataUFO”聯合安全百店106家成員單位(包含百度、網易、豌豆莢、安智等)進行下架處置。

  據了解,12月30日,有用戶收到內容為“××(該朋友的名字),××學校(用戶所在的學校)的同學邀請你加入tataUFO。”的短信。同時,短信中附有軟件的下載地址。在接到多位用戶相似舉報后,tataUFO被12321舉報中心要求下架。


 

  tataUFO是定位于校園的實名社交軟件,主推校園實名場景社交和跨校交流,在大學校園中有較多用戶。

  對此事件,tataUFO方面表示:年末團隊都在團建,并未向用戶違規進行通訊錄推廣,此前推廣活動都是線下活動,此次是部分服務器于近日遭受黑客攻擊,造成了短信后臺部分的短信流量的損失和部分用戶數據的損失。

  tataUFO方面稱,12月30日下午,tataUFO的一臺服務器遭到黑客的攻擊,一來自境外的IP地址暴力破解了一臺從服務器的密碼,破解后執行了一部分歷史腳本,包括調用通信錄短信邀請好友的全部接口腳本,向用戶的通訊錄聯系人發送了短信信息,造成了騷擾。同時也備份了redis配置文件。黑客安裝并執行了比特幣挖礦程序,清空了redis中的全部數據,并清空在redis上產生的其他相關記錄。

  tataUFO技術總監解釋說:“用戶授權綁定通訊錄以后有一個功能為向通訊錄中聯系人發送邀請,但該功能的前提是用戶自主操作并向好友發送短信。服務器中存在帶有固定文案的代碼,其中存在一個有bug的程序——如果不帶參數即指定用戶(例如:誰給誰發短信邀請),將給所有的通信錄號碼群發。該程序早已經停用廢棄,但由于技術人員疏忽未進行刪除。需要強調的是前文提到的“指定用戶”是需要用戶自己選擇并操作的。黑客入侵了一臺服務器,并進行了盲操作,執行了該程序在列的一部分程序。”

  不過此次信息騷擾事件波及了不少用戶,由于涉及讀取用戶通訊錄信息,此事激發了很多用戶的反感,不少用戶在微博曬圖抱怨,稱tataUFO盜取用戶通訊錄。

  關于通訊錄信息, tataUFO的負責人解釋稱,應用不會在用戶未授權情況下獲取通訊錄信息,也不會擅自發送推廣短信。用戶的通訊錄并非App自動獲取,而且是經用戶授權之后才進行綁定。該操作是完全符合工信部的規定以及安卓、ios各大應用商店審核許可合法合規的。

  此外,tataUFO方面向新浪科技表示,已于第一時間向12321舉報中心申訴,并愿意配合相關部門進行核查。還于1月1日在官方微博做出回應,發布了用戶致歉信,向收到收到黑客攻擊影響的用戶致歉,向受到影響的用戶致歉并對其訴求進行一一解決。
  相關分析人士稱,實名社交中最為敏感的部分是資料泄露,湖北軟件開發,襄陽軟件開發在更早之前,職場社交關系軟件Linkedin遭黑客攻擊、致使資料泄露一事也一度引起過網絡熱議。
原文來自:tbkj
?