全球热消息:今年第三次被曝窃取用户隐私,拼多多请给个说法

2023-05-25 10:39:38 来源:于刚

拼多多又出事了。近日,其旗下多多买菜门店端APP被曝光涉嫌监听并盗取用户隐私。这已经是今年拼多多第三次被揭发有此类行为。


(资料图片)

作为新电商开拓者的拼多多,创下了一个个令人咋舌的商业神话,但“恶意软件”、“监听用户”、“窃取隐私”等行为屡屡发生,同样令人震惊。这家公司对公众是否该有个说法?

用户通知栏信息遭遇“裸奔”

近日,国内一知名技术论坛爆料,拼多多旗下多多买菜门店端APP涉嫌非法监听并盗取用户隐私。爆料内容显示:在多多买菜门店端App里,有一个名为NotificationUtils的工具,可以实现检查当前应用是否允许通知、获取通知权限状态并记录、获取通知栏中的通知数量并内部调用。

其中最无底线的就是“获取通知栏中的通知数量并内部调用”,当用户手机安装了多多买菜门店端APP,手机的通知栏就完全开放给多多买菜,包括推送到通知栏信息的App名称、推送时间,以及推送标题、正文、用户ID等内容。

试想一下,你手机的通知栏里都会有哪些信息,全裸地展示给了多多买菜。比如,微信联系人昵称、头像甚至微信信息内容、各种验证码的推送短信、银行系统推送的收入与消费信息,其中包含时间、银行卡尾号、消费金额甚至消费渠道、行程提醒中的时间与车次等。

在这个大数据与人工智能的时代,精准的大数据人物画像就这样赤裸裸地被一家商业公司所掌握并利用,最懂你的不是自己,而是拼多多。

如果说一个通知栏就惊掉了你的下巴,那么,接下来你会更震惊。爆料中还提到,多多买菜门店端App,对用户的手机可以实施远程控制,这可能会导致用户手机被监听以及被安装恶意软件、遭受病毒攻击等结果。

“窃听风暴”背后的百人技术团队

这已经是拼多多今年第三次被曝光窃取用户隐私了。今年2月,谷歌查出拼多多APP多个版本存在用户隐私与安全问题,直接将其在应用商店下架;紧接着,俄罗斯卡巴斯基实验室实锤拼多多APP含有恶意代码,存在窃取用户隐私等问题。

实际上,拼多多此类行为近年来屡屡被曝光。比如2021年,媒体报道拼多多与一位用户有消费纠纷,竟然远程删除了用户手机上的证据截图,此事迅速成为热搜第一。

今年多次被实锤后,拼多多甚至引起了众多外媒和多个网络安全团队的关注。芬兰网络安全公司WithSecure的研发主管称:“我们还没有看到像这样的主流应用程序,试图提升它们的权限以访问它们不应该访问的东西。”还有专家表示,拼多多的做法,“将侵犯隐私和数据安全的行为提升到了一个新的水平”。

CNN更是报道,拼多多在2020年组建了一个由100名工程师和产品经理构成的团队,专门寻找安卓手机的漏洞,开发利用这些漏洞的途径,并以此牟利。

报道称,通过收集有关用户活动的大量数据,拼多多能够全面了解用户的习惯、兴趣和偏好。这使其能够改进其机器学习模型,以提供更加个性化的推送通知和广告,吸引用户打开应用程序并下订单。在有关他们活动的问题曝光后,该团队于 3 月初解散。

笔者再次想起2021年这条“如何看待天才黑客Flanker疑因拒绝做黑客攻击业务,被拼多多强行辞退,错失上亿股票?”的知乎热榜第一话题。原阿里集团安全研究实验室总监、默安科技创始人兼CTO云舒也曾发微博支持Flanker,并在网友的疑问中回复“有些公司没有底线的,我知道的事情肯定比你多。”

套现1200亿后,黄峥去哪儿了?

拼多多的活跃用户已超过8.6亿人,年交易额超3万亿,收入超1300亿。现在看来,拼多多创下的商业奇迹,是部分建立在“窃取隐私”的基础之上的。

就在4月2日,拼多多向美国SEC提交年报文件显示,该企业无论是公司地址还是联系电话,归属地都已经变更为爱尔兰都柏林。在被路透社、CNBC等国际媒体报道后,外界认为其总部已搬迁至爱尔兰。不过拼多多官方对外声称“主要行政办公地址”变更并不意味着搬迁,其总部始终在上海。

也有律师则认为,“主要行政办公地址”在SEC文件中通常就是总部的同义词。例如苹果、谷歌和亚马逊等美国主要公司的10-K表格中,"主要行政办公地址"一词用于表明公司的总部位置。

不难理解,爱尔兰对于全球科技公司而言都是一个神奇的地方,避税的天堂。有媒体猜测,这举有可能意味着拼多多的部分税收和收益可能流转到海外。

除了公司的动作,其创始人黄峥也是一位颇为神秘的人物,几乎不在公众前露面,2021年更是辞去拼多多的职务,神秘消失。而从2018年到现在,黄峥累计减持拼多多股份价值约1200亿人民币。

吊诡的是,窃取用户信息的质疑似乎对拼多多并未造成什么影响,这家公司对此闭口不言,依然在市场上舍命狂奔。它什么时候才能套上“缰绳”,做到敬畏规则和用户呢?

x 广告
最近更新