新浪科技訊 1月4日上午消息,湖北軟件開發,襄陽軟件開發12321舉報中心近日發微博稱:接到大量用戶舉報“tataUFO”App私自盜取用戶通訊錄,進行推廣。經過核實查證將侵犯用戶權益App“tataUFO”聯合安全百店106家成員單位(包含百度、網易、豌豆莢、安智等)進行下架處置。
據了解,12月30日,有用戶收到內容為“××(該朋友的名字),××學校(用戶所在的學校)的同學邀請你加入tataUFO。”的短信。同時,短信中附有軟件的下載地址。在接到多位用戶相似舉報后,tataUFO被12321舉報中心要求下架。
對此事件,tataUFO方面表示:年末團隊都在團建,并未向用戶違規進行通訊錄推廣,此前推廣活動都是線下活動,此次是部分服務器于近日遭受黑客攻擊,造成了短信后臺部分的短信流量的損失和部分用戶數據的損失。
tataUFO方面稱,12月30日下午,tataUFO的一臺服務器遭到黑客的攻擊,一來自境外的IP地址暴力破解了一臺從服務器的密碼,破解后執行了一部分歷史腳本,包括調用通信錄短信邀請好友的全部接口腳本,向用戶的通訊錄聯系人發送了短信信息,造成了騷擾。同時也備份了redis配置文件。黑客安裝并執行了比特幣挖礦程序,清空了redis中的全部數據,并清空在redis上產生的其他相關記錄。
tataUFO技術總監解釋說:“用戶授權綁定通訊錄以后有一個功能為向通訊錄中聯系人發送邀請,但該功能的前提是用戶自主操作并向好友發送短信。服務器中存在帶有固定文案的代碼,其中存在一個有bug的程序——如果不帶參數即指定用戶(例如:誰給誰發短信邀請),將給所有的通信錄號碼群發。該程序早已經停用廢棄,但由于技術人員疏忽未進行刪除。需要強調的是前文提到的“指定用戶”是需要用戶自己選擇并操作的。黑客入侵了一臺服務器,并進行了盲操作,執行了該程序在列的一部分程序。”
關于通訊錄信息, tataUFO的負責人解釋稱,應用不會在用戶未授權情況下獲取通訊錄信息,也不會擅自發送推廣短信。用戶的通訊錄并非App自動獲取,而且是經用戶授權之后才進行綁定。該操作是完全符合工信部的規定以及安卓、ios各大應用商店審核許可合法合規的。