拼多多「恶意代码」事件更多内幕获披露

有消息称，拼多多的开发商——上海寻梦信息技术有限公司的内部人士表示，这些漏洞被用来监视用户和竞争对手，据称是为了促进销售。

据拼多多现任员工称，2020 年，该公司成立了一个由约 100 名工程师和产品经理组成的团队，负责挖掘 Android 手机中的漏洞，开发利用这些漏洞的方法——并将其转化为利润。

在恶意代码事件曝光后，3 月 5 日，拼多多发布了其应用程序的新更新版本 6.50.0，删除了这些漏洞。

该团队中的大部分人都被转移到 Temu（拼多多向海外发布的姊妹版应用）工作。据消息人士称，他们被分配到子公司的不同部门，其中一些负责营销或开发推送通知。但一个由大约 20 名网络安全工程师组成的核心团队仍留在拼多多，他们专门从事发现和利用漏洞的工作。

网络安全研究人士表示，尽管漏洞已被删除，但底层代码仍然存在，可以重新激活以进行攻击。

要求匿名的消息人士称，该公司（有关恶意代码的行为）最初只针对农村地区和小城镇的用户，而避开了北京和上海等特大城市的用户。“目标是降低暴露的风险。”

消息人士称，通过收集有关用户活动的大量数据，该公司能够全面了解用户的习惯、兴趣和偏好。这使其能够改进其机器学习模型，以提供更加个性化的推送通知和广告，吸引用户打开应用程序并下订单。

时至今日，尽管 “恶意代码” 事件被网络安全研究机构和媒体广泛披露和报道，但拼多多及上海寻梦信息技术有限公司从未进行过正面回应、澄清或解释。