CNN:在拼多多被发现恶意利用漏洞后解散了挖掘漏洞的团队 但拼多多在中国屹立不倒
CNN:在拼多多被发现恶意利用漏洞后解散了挖掘漏洞的团队但拼多多在中国屹立不倒据拼多多现任员工称,2020年,该公司成立了一个由约100名工程师和产品经理组成的团队,负责挖掘Android手机中的漏洞,开发利用这些漏洞的方法——并将其转化为利润。据因害怕遭到报复而要求匿名的消息人士称,该公司最初只针对农村地区和小城镇的用户,而避开了北京和上海等特大城市的用户。“目标是降低暴露的风险,”他们说。消息人士称,通过收集有关用户活动的大量数据,该公司能够全面了解用户的习惯、兴趣和偏好。他们说,这使其能够改进其机器学习模型,以提供更加个性化的推送通知和广告,吸引用户打开应用程序并下订单。消息人士补充说,在有关他们活动的问题曝光后,该团队于3月初解散。Toshin将拼多多描述为主流应用程序中发现的“最危险的恶意软件”。“我以前从未见过这样的事情。”他说。据CNN采访的两位专家称,不久之后,3月5日,拼多多发布了其应用程序的新更新版本6.50.0,删除了这些漏洞。据拼多多消息人士透露,更新两天后,拼多多解散了开发漏洞的工程师和产品经理团队。第二天,团队成员发现自己被锁定在拼多多定制的工作场所通讯应用程序Knock之外,并且无法访问公司内部网络上的文件。消息人士称,工程师们还发现他们对大数据、数据表和日志系统的访问权限被撤销。团队中的大部分人都被转移到Temu工作。据消息人士称,他们被分配到子公司的不同部门,其中一些负责营销或开发推送通知。研究更新的Oversecured的Toshin表示,尽管漏洞已被删除,但底层代码仍然存在,可以重新激活以进行攻击。在中国政府从2020年底开始对大型科技公司进行监管打压的背景下,拼多多扩大了其用户群。“这会让工业和信息化部感到尴尬,因为这是他们的工作,”咨询公司TriviumChina的技术政策专家KendraSchaefer说。“他们应该检查拼多多,而他们没有发现(任何东西)的事实让监管机构感到尴尬。”该部定期发布名单,以点名和羞辱被发现破坏了用户隐私或其他权利的应用程序。拼多多没有出现在任何一个名单上。——
