拼多多解散漏洞攻击团队 但还保留20人继续挖漏洞

据媒体报道，匿名的拼多多员工称，公司在 2020 年组建了一个大约由 100 名工程师和产品经理组成的团队，致力于挖掘 Android 手机漏洞，开发漏洞利用方法，将其转化为利润。

消息称拼多多最初不敢在全国范围都展开攻击，刚开始只针对农村和小城镇的用户，避开北上广之类的大城市，用来降低暴露的风险。

显然拼多多这只漏洞挖掘团队很有经验，其中的工程师应该之前就有过类似的经验，因为几年前 PC 端的垃圾软件推广就是这样，静默捆绑软件时，会刻意避开大城市，四五线中小城市是重灾区。

报道称在 2 月 28 日被曝光后，拼多多于 3 月 5 日发布新版本删除恶意代码，3 月 7 日拼多多解散了这个漏洞挖掘团队。

到 3 月 8 日这个漏洞挖掘团队的成员发现自己无法访问拼多多的内部通讯工具，也无法访问公司内网上的文件，另外大数据、数据表和日志系统的访问权限也被撤销。

显然这是拼多多发现情况不对后应该想要毁灭痕迹，估计这时候并夕夕已经清理这个团队的日常活动和通讯记录。

但仍保留 20 名核心工程师致力于挖掘漏洞：

消息还指出这个 100 余名的团队被解散后，大部分工程师被转到拼多多国际版工作，他们被分配子公司的不同部门，一些工程师负责营销和开发推送通知。

但拼多多似乎并不死心，一个由 20 名网络安全工程师组成的核心团队仍然留在拼多多，他们继续从事发现和利用漏洞的工作。

另外尽管拼多多已经将漏洞删除，但底层代码仍然还在，拼多多估计想等着风头过去继续开发漏洞攻击用户。