信息安全顽疾得不到解决,留给拼多多的时间或许就真的不多了。
美国当地时间7.15日,SummerCon大会上,素有“全球白帽黑客奥斯卡”之称的网络安全奖项Pwnie Awards揭榜了2022年度的各大奖项提名。
不过该奖项不光有荣誉,也有“调侃”,可以简单粗暴的理解为“金扫帚奖”,这个奖项,今年提名“花落”拼多多。
拼多多入选本次奥斯卡中 “最无语/残废/啼笑皆非厂商奖 (The lamest vendor response)"提名,该奖旨在颁发给行业内那些面对安全事件、安全问题掩耳盗铃混淆是非,或闹出大乌龙的公司。
被提名词是这么写的:“拼多多因在自己App中植入无可辩驳的后门来窃听用户而被Google踢出安卓应用市场。在被包括卡巴斯基在内的多家媒体和安全公司曝光后,拼多多不仅拒不承认,还反而指责Google的处罚,但却私下迅速将恶意代码悄悄删除并解散了木马团队”。
安全迷雾频发:拼多多如何取信于民?拼多多能获得这项提名,离不开平时的日积月累。这两年,拼多多上关于信息安全的问题,可谓是层出不穷,好不热闹。
3月22日消息,拼多多的应用因被发现存在恶意软件问题,已被谷歌从Play应用商店下架。据匿名安全研究人员透露,拼多多的应用包含有恶意功能,能够利用漏洞提升权限,阻止卸载并能够监视用户。
谷歌发言人在一份声明中表示,他们已经通过Google Play Protect处理了在谷歌Play商店之外发现的含有恶意软件的拼多多应用,而且为了保障用户的安全,该应用的Play版本也已经被暂时下架。谷歌提供了Google Play Protect作为安卓手机的恶意软件防护服务,可以扫描安卓手机上的所有应用,并阻止恶意应用的安装。
此前也有消息称,拼多多公司在2020年组建了一支由100名工程师和产品经理组成的团队,致力于挖掘Android手机漏洞,开发漏洞利用方法,将其转化为利润。
拼多多的恶意功能最初只针对农村和小城镇的用户,避开大都市的用户以降低被暴露的风险。通过收集用户活动的大量数据,拼多多能全面了解用户习惯、兴趣和偏好,改进其机器学习模型,提供更具有个性化的推送通知和广告,吸引用户打开应用并下单。在被曝光之后,该团队于三月初被解散。
此前,中国安全研究机构也披露过拼多多应用利用漏洞提权窃取用户数据、逃避监管、无法卸载等问题。
而对于谷歌的下架理由,拼多多方面更是习惯性的矢口否认:否认其应用存在任何恶意代码,并称谷歌下架是由于“技术问题”导致的。拼多多还表示,他们已经与谷歌进行了沟通,并将尽快解决问题。拼多多还呼吁用户不要轻信网络谣言,并保持理性。
事态并未因拼多多的矢口否认而终结,反而是越烧越旺,谷歌下架拼多多之后没几天,俄罗斯卡巴斯基实验室的研究人员发布了一份关于拼多多的调查报告,证实在拼多多的程序中包含恶意代码,会利用已知的安卓漏洞提权,下载、执行额外的恶意操作。而这些恶意代码的目的是为了盗取用户的个人信息,并将其传输到远程服务器,进而被黑客用来进行诈骗、恶意营销等各种违法活动。
更有意思的是,据权威媒体《财经》报道,2019年至今,工信部共通报了超过2000个应用。四年来,阿里巴巴、字节跳动、腾讯、百度、京东、美团、网易、快手等头部互联网公司均有产品被点名。《财经》同时指出,在国内主要的互联网平台公司中,仅有拼多多从未被点名通报。这背后是,公关的“钞能力”还是清者自清,值得我们去考量。
以上盘点,还仅仅只是这两年的信息安全问题,尽管以上的不少热议,拼多多均表示否认或者不发表声明,但是拼多多获得入选本次奥斯卡中 “最无语/残废/啼笑皆非厂商奖 (The lamest vendor response)"提名,不啻是对其在用户安全问题上的一种“肯定”。
警惕“塔西佗陷阱”之下,拼多多未来何去何从?拼多多信息安全问题层出不穷,很容易引发“塔西佗陷阱”,所谓的塔西佗陷阱,指当政府部门或某一组织失去公信力时,无论说真话还是假话,做好事还是坏事,都会被认为是说假话、做坏事。而拼多多方面本身舆论口碑就有瑕疵,拼多多的崛起史,可谓是半部用户投诉史,什么产品质量以次充好,退货率高,品质差,好事网友甚至将其调侃为“拼夕夕”,如今,再加上安全问题频发,想要扭转口碑更是雪上加霜。
而安全问题,是一切商业活动的基础,因为安全的背后是信任。相较于阿里、京东来讲,拼多多虽然体量并不小,但是更像是一家企业,而非一家集团。我们看阿里、京东,旗下都有上市公司或者待上市公司,不单单是电商,更是横跨金融、线下实体、物流等多个板块。
反观拼多多,尽管体量较大,但是核心业务单一,基本上就是电商这单一业态。其实拼多多也想过扩容,比如为了延伸至金融领域,推出了多多支付。
但是效果并不显著,毕竟金融的背后是信任,信息安全是信任的基础,用户在购物时,经常担心信息泄露,这些基础服务都有待提升,遑论商业晋级?
不止外扩,就是电商大本营,拼多多也一直在想着扩大商业半径,结果都是因为“安全感”不足而折戟。前几个月的炸店事件,本质上是商家对拼多多上没有安全感的一种“宣泄”。传闻拼多多开设自己的直营店,结果换来的是商家群起而攻之,最后不得不下架处理。为什么商家做出如此过激行为,商家莫名的被罚款,仅退款等操作让商家缺乏经营层面的安全感。
炸店与这两年的信息问题、最近的提名,看似风马牛不相及,背后的本质,其实都是一样的,都是安全感,一个是用户缺乏安全感,一个是商家缺乏安全感,涉及的都是企业的价值观问题。
拼多多在信息安全层面的短板,不止影响其商业半径的延伸,现在甚至可能动其根本。这两年,政府层面,网络安全的重视程度可以说是空前的。单是今年,这种重磅政策就在不断加码:
2023年3月16日,国务院新闻办公室发布《新时代的中国网络法治建设》白皮书
2023年3月28日,市场监管总局、中央网信办、工信部、公安部发布《关于开展网络安全服务认证工作的实施意见》(国市监认证规〔2023〕3号)
2023年5月23日,国家网信办发布《数字中国发展报告(2022年)》
.......
资本层面,信息安全问题也是股民考量的核心点之一。拼多多方面,2022年其ESG评级下调至B级,并且在“数据隐私与安全”议题上也处于落后地位。
写在最后:
这次拼多多获得是奥斯卡中 “最无语/残废/啼笑皆非厂商奖 (The lamest vendor response)"提名,8月9号公布结果,拼多多会不会“获奖”,我们拭目以待。
信息安全顽疾得不到解决,留给拼多多的时间或许就真的不多了。
