实名社交APP被曝盗通讯录推广：官方称遭黑客攻击

前进者-李

[size=1pc]12321举报中心近日发微博称：接到大量用户举报“tataUFO”App私自盗取用户通讯录，进行推广。经过核实查证将侵犯用户权益App“12321,通讯录,tataufo”联合安全百店106家成员单位（包含百度、网易、豌豆荚、安智等）进行下架处置。

[size=1pc]据了解，12月30日，有用户收到内容为“××（该朋友的名字），××学校（用户所在的学校）的同学邀请你加入tataUFO。”的短信。同时，短信中附有软件的下载地址。在接到多位用户相似举报后，tataUFO被12321举报中心要求下架。

[size=1pc]

[size=1pc]tataUFO是定位于校园的实名社交软件，主推校园实名场景社交和跨校交流，在大学校园中有较多用户。

[size=1pc]对此事件，tataUFO方面表示：年末团队都在团建，并未向用户违规进行通讯录推广，此前推广活动都是线下活动，此次是部分服务器于近日遭受黑客攻击，造成了短信后台部分的短信流量的损失和部分用户数据的损失。

[size=1pc]tataUFO方面称，12月30日下午，tataUFO的一台服务器遭到黑客的攻击，一来自境外的IP地址暴力破解了一台从服务器的密码，破解后执行了一部分历史脚本，包括调用通信录短信邀请好友的全部接口脚本，向用户的通讯录联系人发送了短信信息，造成了骚扰。同时也备份了redis配置文件。黑客安装并执行了比特币挖矿程序，清空了redis中的全部数据，并清空在redis上产生的其他相关记录。

[size=1pc]tataUFO技术总监解释说：“用户授权绑定通讯录以后有一个功能为向通讯录中联系人发送邀请，但该功能的前提是用户自主操作并向好友发送短信。服务器中存在带有固定文案的代码，其中存在一个有bug的程序——如果不带参数即指定用户（例如：谁给谁发短信邀请），将给所有的通信录号码群发。该程序早已经停用废弃，但由于技术人员疏忽未进行删除。需要强调的是前文提到的“指定用户”是需要用户自己选择并操作的。黑客入侵了一台服务器，并进行了盲操作，执行了该程序在列的一部分程序。”

[size=1pc]不过此次信息骚扰事件波及了不少用户，由于涉及读取用户通讯录信息，此事激发了很多用户的反感，不少用户在微博晒图抱怨，称tataUFO盗取用户通讯录。

[size=1pc]关于通讯录信息，tataUFO的负责人解释称，应用不会在用户未授权情况下获取通讯录信息，也不会擅自发送推广短信。用户的通讯录并非App自动获取，而且是经用户授权之后才进行绑定。该操作是完全符合工信部的规定以及安卓、ios各大应用商店审核许可合法合规的。

[size=1pc]

[size=1pc]

[size=1pc]此外，tataUFO方面向记者表示，已于第一时间向12321举报中心申诉，并愿意配合相关部门进行核查。还于1月1日在官方微博做出回应，发布了用户致歉信，向收到收到黑客攻击影响的用户致歉，向受到影响的用户致歉并对其诉求进行一一解决。

[size=1pc]

[size=1pc]相关分析人士称，实名社交中最为敏感的部分是资料泄露，在更早之前，职场社交关系软件Linkedin遭黑客攻击、致使资料泄露一事也一度引起过网络热议。