头图来自海洛创意,未经允许,请勿转载使用。
2月19日下午18点多,Boss直聘官方微信号推送了一篇紧急申明,点进去一看,发现说的是Boss直聘原来在App Store的官方应用被人用强制手段删除了,提醒大家不要下载错误的App,而Boss直聘新上的还排在第九呢。自己的App被人删了,倒也是头一遭听到,这是怎么做到的?
官方账号是这样描述这件事的:
2 月 19 日凌晨,不明身份人士趁开发小哥带孩子睡觉的空档,用极端手段攻击Boss直聘App Store开发者帐号,冒充Boss直聘开发者,提请Appstore官方删除了Boss直聘应用,导致苹果用户无法正常下载。今天下午我们已经上线“Boss直聘”子版本(在 App Store “Boss直聘”搜索结果下位于第 9 位),供用户正常下载。
那Boss直聘的App Store开发者帐号是如何泄漏的呢?Boss直聘这样解释了原因,原来App Store开发者帐号是企业邮箱注册的,
未被抹去的邮件记录显示,不明身份攻击者凌晨 00:26 攻破企业邮箱,从凌晨 3:43 开始陆续删除了“Boss直聘”的主版本和 3 个子版本。目前我们正在与苹果市场积极协商,希望尽快恢复“Boss直聘”的正常服务。
以上截图由Boss直聘CEO赵鹏提供
被什么极端手段攻击了?
Boss直聘公众号里提到的——“用极端手段攻击Boss直聘App Store开发者帐号”,其实就是Boss直聘的腾讯企业邮箱泄漏了密码,让人潜入了注册App Store开发者帐号的企业邮箱,并且修改了App Store开发者帐号的密码。随后黑客自行登录App Store删除了Boss直聘App。
由于是攻入企业邮箱,一旦一个账号泄露,可能该公司的其他企业邮箱都暴露在黑客面前。由于Boss直聘使用的是腾讯企业邮箱,安全性相对较高,所以是邮箱本身密码泄露的可能性不大,极有可能是以下两种原因。
社工。在了解该企业人员的部分有用信息之后,黑客去社工网站上去搜索这个人暴露的其他网站或者App上的密码,如果恰好使用了相同或者非常相近的密码,企业邮箱就很容易被攻入了。
弱密码。企业有的员工设置的密码非常弱,例如123456这种。很快被黑客破译出来了,从而下手。
这件事的源头,还是企业缺乏安全意识,没有高度重视企业邮箱安全,并且妥善管理。各家企业要提高警惕,长个教训,一定要注意使用企业邮箱账号的安全性!一定!一定!(重要的事情一定三遍。)
其实接下来要说的才是最精彩的——谍中谍!
Boss直聘猜测是竞争对手攻击,可能性多大?
从Boss直聘官方账号的意思来看,是有竞争对手在采用极端竞争手段攻击他们,特别指向了目前的“利益既得者”拉勾,原文有两处指出了这种猜测,如下:
第一处:
“Boss直聘”招聘 App 才是我公司官方发布的应用。目前,在 App Store 搜索“Boss直聘”排名第一的“Boss在线”应用与我司无任何关系,我司不对该应用服务品质负责。“Boss在线”于 2016 年 1 月 29 日上线,开发商为拉勾网,打开后显示页面为拉勾 App。
第二处:
2014 年 7 月上线以来,Boss直聘用首创的Boss牛人直接开聊的产品形式解决了大量企业招聘难,牛人求职难的问题,也借此成为深受用户喜爱和推崇的招聘App。春节之后,正值许多企业和牛人求职招聘的旺季。不明身份者此举,不仅伤害了Boss直聘开发者,也是对用户的直接伤害。同时我们也已经报警,将积极调查,对这次事件的始作俑者采取法律手段。
苍蝇令人厌恶,但打不倒战士。Boss直聘会坚持原创精神,捍卫求职者不被欺骗的正当权益,坚持为中国 5 亿职场人创造价值。
我们呼吁商业竞争中要保持底线。
我们呼吁类似让中国人丢脸的事情不要发生在App Store。
我们呼吁所有享受到Boss直聘服务的人一起拒绝和鄙视这种伤害行为。
我们下载了这个“Boss在线”发现,打开之后,内容确实跳转到拉勾,但并非拉勾现有产品,而是跟“拉勾探索版”这个App的产品一模一样。这个所谓的“拉勾探索版”(今年2月初上线)是拉勾针对Boss直聘的模式所做的竞争品,也是应聘者在线直接和boss沟通的。而且从以上截图来看,“Boss在线”是2016年1月29日提交上线的,时间确实和现在比较接近。而且一上线就是2.0版本,没有历史版本信息和任何更新,打开之后直接跳转到拉勾探索版的产品。由此得出,“Boss在线”就是拉勾针对Boss直聘注册的名称类似的App,用于给自己的“拉勾探索版”导流,混淆视听。
由于App Store的搜索并没有“分词”,所以只要是涵盖了名字里字的App都会被检索到。其实这种ASO,也是在App Store里最为常见的竞争手段,详情可以参考文章《实例详解App Store下架雷区》。
是为谍一。
谍二:斥责别人?其实这也是Boss直聘自己的惯用招数
以上截屏由拉勾网CEO马德龙在某微信群里提供,可以看到历史上,Boss直聘也开启了强大的ASO,去攻掠了各家有点名气的互联网招聘平台。此外,由两个不同开发者开发的“拉勾招聘”和“拉钩招聘”这两个App都是引流到Boss直聘,和“Boss在线”属于同性质的马甲App。
仍不清楚:“Boss直聘”被下架到底是谁干的?大胆猜测……
现在两家已经撕起来了,拉勾这边马德里在群里发了Boss直聘的黑历史,联合创始人Ella也在朋友圈里“含蓄地”评论这件事。
Boss直聘的赵鹏也在微信群里反击:
1.竞争对手干的。我们天真的程序猿同学给我分析,如果是竞争对手黑掉Boss直聘开发者账号的话,被查出来代价太大,他不愿意相信商业这么残酷。我们能确定的是双方都在互相抢注个人开发号,做ASO的恶性竞争;但是仅仅为了搜索Boss直聘就能搜到马甲号这点蝇头小利,去删掉人家App,黑进人家邮箱,代价未免太大。没有证据,就不能下结论。
2.自黑炒作。也有同学得出了这样腹黑的结论,但是要知道在App Store里,一旦被删除,之前积累的用户评价等历史信息都付之东流,连搜索都会排到后面,这也是为什么现在搜索Boss直聘,新上的官方只能排到第九。如果真是这样,这个营销代价未免太大。
3.黑客。就是被黑客黑了呀,至于为什么删App,而不是勒索,可能只是恶作剧吧。#黑客小哥正在电脑前看着你们得意得笑呢#或许这也只是黑产的一个部分,可怕的攻击还在后面呢。
4.苹果干的。要么就是如拉勾所说,由于Boss直聘在前期ASO过度,被苹果惩罚性下架了。
所以我们尚不能得知,邮箱黑客是不是竞争对手或者老板自己派的,但是这个商业竞争和撕逼也够可怕了。我嗅的iOS程序猿光升同学无奈地说:“程序猿也是可怜,估计也是被逼做这种无节操的事。”
但是他幸运的是,他在虎嗅啊!虎嗅绝对不会逼正直的程序猿Boy去做这些恶性竞争的。
所以具备洪荒之力,又正直善良的程序猿宝宝们,虎嗅是你的好选择啊!欢迎投递简历到:Jobs@huxiu.com