微闻

标签: 拼多多

  • 拼多多因窃听用户隐私而获得“最差厂商奖”提名

    窃取用户隐私的拼多多,拿到了黑客奥斯卡提名

    近日,素有“全球白帽黑客奥斯卡”之称的网络安全奖项Pwnie Awards揭榜了2023年度的各大奖项提名。在今年的奖项提名中,有Best Desktop Bug、Best Mobile Bug、Most Innovative Research、Lamest Vendor等30项通过筛选获得提名,其中“Lamest Vendor”中文译为“最差厂商奖”,也是每一年Pwnie Awards最受关注的一个奖项。

    “最差厂商奖”旨在颁发给行业内那些面对安全事件、安全问题掩耳盗铃混淆是非,或闹出大乌龙的公司。2023年度Pwnie Awards的“最差厂商奖”提名花落“拼多多”,被提名的理由是:“拼多多因在自己App中植入无可辩驳的后门来窃听用户而被Google踢出安卓应用市场。在被包括卡巴斯基在内的多家媒体和安全公司曝光后,拼多多不仅拒不承认,还反而指责Google的处罚,但却私下迅速将恶意代码悄悄删除并解散了木马团队。”该颁奖仪式将在 8 月 9 日举行,拼多多最终能否拿到“最差厂商奖”,我们也拭目以待。

    事实上,2023年3月,拼多多APP因安全问题被Google Play下架的新闻曾被CNN等国外媒体报道,Twitter上也有大量讨论,但是在国内却鲜有报道。

    此外,前不久《财经》公众号发布了一篇文章《4年超2000款App因侵犯个人信息违规,有一家公司从未被点名》,这篇文章对2019年以来工信部通报批评过的APP做了统计,发现“四年来,阿里巴巴、字节跳动、腾讯、百度、京东、美团、网易、快手等头部互联网公司均有产品被点名。主要的互联网平台公司中,仅有拼多多从未被点名通报。”

    这也引发了业界广泛热议。为何在国外被证明存在“后门”,被Google Play下架,又被媒体报道的拼多多在国内却拥有“金刚不坏之身”呢?

    —— 磐石之心 全文 (原文已被删除)

  • 美国版拼多多 Temu 成为热销购物应用

    美国版拼多多 Temu 大放异彩,销售额超过竞争对手 Shein

    去年这个时候,在美国几乎没有人知道Temu是什么。现在,随着美国消费者努力应对失控的通货膨胀,由一家中国科技公司支持的廉价购物应用程序正在热销,销售额超过了竞争对手 Shein。

    根据分析数十亿信用卡和借记卡的Bloomberg Second Measure,5 月份在中国电商巨头拼多多支持的电子商务市场 Temu 上的支出比美国更成熟的快时尚零售商 Shein 高出 20%交易。

    与生产自有品牌时尚产品的 Shein 不同,Temu 是一个类似于亚马逊的第三方市场,只有一小部分客户支出最终转化为自己的收入。

    尽管如此,就在 Temu 在美国的支出超过 Shein 的同一个月,这家快时尚零售商在该国推出了自己的在线市场,允许其他商家销售他们的产品。

    为了降低成本,Temu要求供应商提供超低价格,最低报价的供应商将赢得订单,这让一些中国工厂主感到愤怒,他们表示被迫牺牲质量以获取合同。

    然而,这些担忧并没有阻止美国消费者。可以说,Temu在进军美国主流市场方面迈出了最大的一步,该公司于2月份首次在超级碗上亮相,播放了一系列30秒的广告,展示了一个顾客在各种便宜而华丽的服装中跳舞。

    “Temu的应用表现几乎是前所未有的,”Apptopia的布莱克尔说。“但它还太新,我们还不知道Temu的未来如何。”

    —— 彭博社

  • 拼多多Android应用可以发布低Target Android SDK版本的应用

    拼多多Android应用可以发布低Target Android SDK版本的应用

    拼多多的Android应用因为安全问题被Google Play下架后,拼多多技术团队不再需要为上架Play而烦恼。由于该应用不面向海外市场,因此他们可能不再需要遵守 Google 制定的规则,可以在国内应用市场发布低Target Android SDK版本的应用程序,这对拼多多来说是一个好消息。

    ——— Oasis Feng

  • 拼多多总部将从中国迁至爱尔兰

    传拼多多总部将从中国迁出,拼多多批“消息严重失实”

    5月4日,今日有消息称,拼多多总部将从中国迁至爱尔兰。

    对此,拼多多相关负责人表示,该消息严重失实,纯属误读。“拼多多出生在上海,成长在中国,拼多多总部始终在中国上海,不会改变。”

    据介绍,拼多多电商全球化业务temu出于在欧洲开展业务的需要,同时基于合规需求,选择爱尔兰都柏林为海外业务法律注册地。

    —— 凤凰网

  • 拼多多内部严苛的员工管理手段

    揭秘拼多多内部严苛的员工管理手段

    在面试阶段,各级面试官会刻意淘汰掉喜欢对外发声者,除考察面试者的岗位符合度之外,还会调查面试者是否经常在脉脉、微博、知乎等公开平台发文,以评估面试者是否会成为潜在的意见领袖。

    即使通过了层层筛选,PDD也无法对员工完全信任。他对员工日常的强压管理也算是名声在外,防员工犹如防贼,先说一些一般的手段。

    为了链路安全,PDD在一定程度上加强了部门之间的壁垒。全员花名,内部IM没有组织架构,找接口人需要靠熟人引荐;内部横向沟通也非常少,拉超过10人会议,将被批评。

    除此之外,私人社交也被严格管控,不允许员工私自建微信群,一旦发现,HR监督删除、解散;不允许微信发任何文件,发了,HR直接问询、扣手机;一旦被怀疑泄露,HR直接查员工微信、脉脉。

    不适应PDD企业文化,想要逃离的人,进来不容易,出去也要被扒层皮。

    据另一知情人爆料,“PDD几乎全网竞业,看机会的基本也是裸辞或者不打算混互联网了”。在竞业官司上,PDD基本无一败诉,「前员工」也必定会背上高额的违约金。

    根据一篇已被删除的公众号文章节选,可通过快照查看全文。

  • 拼多多在中国不受监管

    CNN:在拼多多被发现恶意利用漏洞后解散了挖掘漏洞的团队 但拼多多在中国屹立不倒

    据拼多多现任员工称,2020 年,该公司成立了一个由约 100 名工程师和产品经理组成的团队,负责挖掘 Android 手机中的漏洞,开发利用这些漏洞的方法——并将其转化为利润。

    据因害怕遭到报复而要求匿名的消息人士称,该公司最初只针对农村地区和小城镇的用户,而避开了北京和上海等特大城市的用户。

    “目标是降低暴露的风险,”他们说。

    消息人士称,通过收集有关用户活动的大量数据,该公司能够全面了解用户的习惯、兴趣和偏好。

    他们说,这使其能够改进其机器学习模型,以提供更加个性化的推送通知和广告,吸引用户打开应用程序并下订单。

    消息人士补充说,在有关他们活动的问题曝光后,该团队于 3 月初解散。

    Toshin 将拼多多描述为主流应用程序中发现的“最危险的恶意软件”。“我以前从未见过这样的事情。”他说。

    据 CNN 采访的两位专家称,不久之后,3 月 5 日,拼多多发布了其应用程序的新更新版本 6.50.0,删除了这些漏洞。

    据拼多多消息人士透露,更新两天后,拼多多解散了开发漏洞的工程师和产品经理团队。

    第二天,团队成员发现自己被锁定在拼多多定制的工作场所通讯应用程序 Knock 之外,并且无法访问公司内部网络上的文件。消息人士称,工程师们还发现他们对大数据、数据表和日志系统的访问权限被撤销。

    团队中的大部分人都被转移到 Temu 工作。据消息人士称,他们被分配到子公司的不同部门,其中一些负责营销或开发推送通知。

    研究更新的 Oversecured 的 Toshin 表示,尽管漏洞已被删除,但底层代码仍然存在,可以重新激活以进行攻击。

    在中国政府从 2020 年底开始对大型科技公司进行监管打压的背景下,拼多多扩大了其用户群。

    “这会让工业和信息化部感到尴尬,因为这是他们的工作,”咨询公司 Trivium China 的技术政策专家 Kendra Schaefer 说。“他们应该检查拼多多,而他们没有发现(任何东西)的事实让监管机构感到尴尬。”

    该部定期发布名单,以点名和羞辱被发现破坏了用户隐私或其他权利的应用程序。

    拼多多没有出现在任何一个名单上。

    —— CNN

  • 华为手机上的拼多多APP被Google删除

    华为手机上的拼多多APP被Google删除

    Google Play 卸载了鸿蒙系统上的拼多多APP

    在 Google 将拼多多 在 Play 应用商店下架并标注为恶意软件后,一些鸿蒙系统的用户手机出现了一些异常。

    推特用户 luolei 说:Google 把我华为手机上的拼多多给卸载了,在我们鸿蒙系统上胡作非为,谁给他权限删我应用的!

  • 卡巴斯基发现拼多多APP中的恶意代码

    卡巴斯基确认拼多多APP的中国版本中存在恶意代码

    总部位于莫斯科的卡巴斯基实验室的安全研究人员在PDD的中国购物应用拼多多版本中发现并概述了潜在的恶意软件,此前谷歌将其从其安卓应用商店中下架。

    在对恶意代码的首批公开报告之一中,卡巴斯基阐述了该应用程序如何提升自身权限以破坏用户隐私和数据安全。 它测试了通过中国本地应用商店分发的应用版本,华为技术有限公司、腾讯控股有限公司和小米公司经营着一些最大的应用市场。

    卡巴斯基与彭博社分享的调查结果是独立安全团队对上周触发谷歌行动和恶意软件警告的最清晰解释之一。 这家网络安全公司在揭露历史上一些最大的网络攻击方面发挥了作用,该公司表示,它发现了早期版本的拼多多利用系统软件漏洞安装后门并获得对用户数据和通知的未授权访问的证据。

    这些结论在很大程度上与过去几周在网上发布他们的发现的研究人员的结论一致,尽管彭博新闻社尚未证实早期报道的真实性。

    这起安全事件可能会为美国本已激烈的关于中国应用程序数据不安全的言论火上浇油。 虽然拼多多主要在中国使用,但 PDD 的另一款应用 Temu——销售从衣服到厨房用品的所有商品——在过去几个月的大部分时间里一直是苹果公司美国应用商店中下载次数最多的应用。 它尚未像 ByteDance Ltd. 的 TikTok 那样成为立法者审查的焦点。

    —— 彭博社

  • 拼多多对抗恶意利用

    拼多多采取行动,中国境内社交平台和各网站关于拼多多被谷歌下架和恶意利用漏洞的消息陆续被删除。

    拼多多正在拿起“法律的武器”维护自身的权益。

  • 谷歌将拼多多APP从Play应用商店下架并标记为恶意软件

    谷歌宣布将拼多多APP从Play应用商店下架,并标记为恶意软件

    周一,谷歌宣布已将中国电子商务巨头开发的几款应用程序标记为恶意软件,提醒安装了这些应用程序的用户,并暂停了该公司的官方应用程序。

    在过去的几周里,多名中国安全研究人员指责拼多多——一家拥有近 8 亿活跃用户的新兴电子商务巨头为 Android 开发的应用程序包含旨在监控用户的恶意软件。

    谷歌发言人埃德·费尔南德斯 (Ed Fernandez) 表示,“通过 Google Play Protect 强制执行此应用程序的非 Play 版本,发现这些版本包含恶意软件”,指的是不在 Google Play 上的应用程序。

    实际上,谷歌已经设置了其 Android 安全机制 Google Play Protect,以阻止用户安装这些恶意应用程序,并警告那些已经安装了这些恶意应用程序的用户,提示他们卸载这些应用程序。

    费尔南德斯补充说,谷歌已暂停拼多多在 Play 商店的官方应用程序,“出于安全考虑,我们将继续调查。”

    一位要求匿名的安全研究人员向 TechCrunch 通报了针对这些应用程序的指控,并表示他们也对这些应用程序进行了分析,发现这些应用程序正在利用几个零日漏洞来攻击他们的用户。

    —— TechCrunch