拼多多解散漏洞攻击团队，但还保留20人继续挖漏洞

据拼多多现任员工称‍，2020 年‌‍，该公司成立了一个由约 100 名工程师和产品经理组成的团队‏‏，负责挖掘 Android 手机中的漏洞‍，开发利用这些漏洞的方法——并将其转化为利润。

据因害怕遭到报复而要求匿名的消息人士称‍，该公司最初只针对农村地区和小城镇的用户‎‍，而避开了北京和上海等特大城市的用户。

“目标是降低暴露的风险‏，”他们说。

🧠🌞🥚🅾🦄‍

消息人士称‎‎，通过收集有关用户活动的大量数据‌，该公司能够全面了解用户的习惯、兴趣和偏好。

他们说‌，这使其能够改进其机器学习模型‍‍，以提供更加个性化的推送通知和广告‏‍，吸引用户打开应用程序并下订单。
‎👠💶😒🦷
消息人士补充说‎‍，在有关他们活动的问题曝光后‏‍，该团队于 3 月初解散。

Toshin 将拼多多描述为主流应用程序中发现的“最危险的恶意软件”。“我以前从未见过这样的事情。”他说。

据 CNN 采访的两位专家称‏‍，不久之后‌‎，3 月 5 日‏‍，拼多多发布了其应用程序的新更新版本 6.50.0‍，删除了这些漏洞。🧑‍🎤‍🧣💰😒👃

据拼多多消息人士透露‍‎，更新两天后‎，拼多多解散了开发漏洞的工程师和产品经理团队。

第二天‌‎，团队成员发现自己被锁定在拼多多定制的工作场所通讯应用程序 Knock 之外‎，并且无法访问公司内部网络上的文件。消息人士称‏‏，工程师们还发现他们对大数据、数据表和日志系统的访问权限被撤销。

✍🚘🍭💲🦄‌

团队中的大部分人都被转移到 Temu 工作。据消息人士称‎，他们被分配到子公司的不同部门‎‎，其中一些负责营销或开发推送通知。

研究更新的 Oversecured 的 Toshin 表示‏‍，尽管漏洞已被删除‌‌，但底层代码仍然存在‌‏，可以重新激活以进行攻击。

在中国政府从 2020 年底开始对大型科技公司进行监管打压的背景下‍，拼多多扩大了其用户群。
💅🚂🍖🈳🦜‌
“这会让工业和信息化部感到尴尬‏‎，因为这是他们的工作‍，”咨询公司 Trivium China 的技术政策专家 Kendra Schaefer 说。“他们应该检查拼多多‌，而他们没有发现（任何东西）的事实让监管机构感到尴尬。”

该部定期发布名单‎‏，以点名和羞辱被发现破坏了用户隐私或其他权利的应用程序。

🙌🚤🥛®🦬‍拼多多没有出现在任何一个名单上。