1
再過半個月,就到了有圣誕老人和發蘋果的日子了。
一到這種和“吃”有關的節日(雖然對吃貨而言,每個節日都和吃有關),不禁想起2016年中秋那場和“吃”有關的“慘案”。在2016年與網絡安全相關的大事件盤點中,這一事件有些特別:它不是什么和技術、黑客緊密結合的大事件,卻與安全部的幾位寫腳本搶月餅的安全工程師以及一家知名互聯網公司相關。
幾個月過去,那些“被離職”的安全人員和月餅怎么樣了?
在探究這個問題前,雷鋒網先復盤一下這場由月餅引發的“慘案”。
阿里在內部搞了一個中秋搶月餅的活動,不過阿里安全的四位童鞋卻狂拽酷炫地秀了一把黑客技術,不動聲色地多刷了124盒月餅。然而,這件事情卻迅速發酵。根據內部決定,為了維護企業文化,阿里巴巴居然決定“揮淚斬馬謖”,把這四位童鞋給開除了。
后來,在阿里巴巴集團首席人力官蔣芳寫給員工的內部信中,這一人數上升到5人。
“9月12日,安全部4位同學和阿里云安全團隊的1位同學,用編寫腳本代碼方式,在公開秒殺月餅的內部活動“秒到”了133盒月餅。
首席風險官劉振飛及阿里云總裁胡曉明在與上述同學經過非常坦誠的溝通之后,公司對上述同學做出了勸退的決定。這不是一個容易做出的決定,也不是一個可以得到各方面理解的決定,這個決定也讓公司再次成為輿論的風暴眼。”
除開外掛搶月餅的這5名工程師之外,當初截圖公司內網對該事處置內容并外傳的一名同事也極有可能被開除。就是下面這張截圖,雖然沒有水印,但是網傳可以通過特殊結束手段追蹤溯源。當然,事后這名員工是否已經確認遭到開除處理,并沒有任何公開消息可以查證。
對于阿里“月餅”事件,被開除員工是否應該受到這么嚴厲的處罰?這是輿論的焦點。
被開除的其中一位當事人在事件發生后在知乎上進行了回答。
作為事件的當事人,忍不住說幾句,第一次經歷這種事情也是有點懵逼。
事情經過:
9.12 14:00 聽說開始秒殺月餅了,中秋想去一個親戚家,公司發的月餅送人了,于是想 秒一個。
剛開始用手點發現打開就沒了。看了下有人用程序刷,于是我和旁邊同事說,我也得寫個腳本了,要不然搶不到了,于是寫了一段js,大概就是如果按鈕變成了秒殺就狂點(和12306搶票插件類似),然后處理下驗證碼。寫了個定時器搶16:00的那一批。
由于之前沒進入過付款頁面,以為和正常的秒殺頁面一樣,搶到了就會跳轉到支付,所以完全沒放在心上就去工作了。結果到16:00一看傻眼了,那個頁面秒殺可以一直點然后不跳轉!我看了下一公是搶了16個(都沒付款),然后趕緊給行政打電話說要退,這個我周圍的同事都可以作證。
后來的事情我也是猝不及防,16:30 約談,17:30 解約合同就備好了,18:00走人,走之前還特意問了下需不需要交接工作,大家都不care,走的事情比較重要。
好吧,這是我經歷過最快的離職,也許也是可以排進逗逼榜了。
最后說幾句:
1 我的確是只想買一個月餅,這個周圍同事都可以做證,代碼還在呢。。。
2 我承認我用了腳本,技術壓制,對其他人不公平,所以我認,對結果我沒什么意見。
3 但是如果這都上升到價值觀、誠信、不當獲利(黑人問號???),我賺了一分錢了?我就想給自己搶一個月餅啊。。。
4 還是檢討一下,作為安全工程師的確不應該做出這種出格的事情。但我拒絕承認我人品有問題。
5 還是匿了,也不是什么光彩的事情。
6 求工作。。。
而被開除的第五人阿里云安全的葉敏的網傳朋友圈截圖如下:
[圖片來自知乎用戶luka]
以下內容整理自事件當事人回答下的評論,雷鋒網宅客頻道(公眾號 ID:letshome)選取了幾個點贊數高的觀點。
YiyuanLiu:心疼答主。。
林受菌:心疼一分鐘 看到上面說 云舒大大在招人哈哈哈
知乎用戶:這不是人品問題,這是充分發揮技術優勢。請人事別用電腦系統了,這是對不會電腦的人事不正當競爭。
知乎用戶:這回答應該把具體采用的方案寫詳細點,然后把代碼公布,最后分析下有什么漏洞以及如何預防,這樣就是一份不錯的簡歷了。
郭朕:第一,阿里不缺人;第二,你破壞了規則。
Garfield:重點是你們幾個搶了HR的月餅,把HR惹毛了.但是阿里的HR特權好高,開人這么大的事也不用開個會研究下,兩小時就把人開啦……
花墨灑:阿里做到今天,誠信不僅僅是價值觀,也是立身之本。規定了沒人限量三盒,而且說了因為信任所以簡單。你用腳本刷月餅,你叫其他同學怎么看安全部,你叫外面的商家和買家怎么看阿里。還有要把你招過去,呵呵噠,監守自盜的人也敢要那真是醉了。
360無線電硬件實驗室掌門人 楊卿:
如果在我們這,跪的會是寫出那套平臺的相關人員。
以在360信息安全部多年的工作經驗上假想,如果出現了月餅事件,發現漏洞的安全人員(畢竟我們這"黑客"太多)一定是會及時報告給信息安全部,由我們督促存在漏洞的業務系統的研發人員進行修復。
而且公司研發的小伙伴早就習慣了被我們嚴苛的安全標準所"虐待",安全的使命感會讓大家快速響應并配合我們將漏洞修復,肯定不會有什么被離職的情況發生,畢竟360是以安全文化為導向的企業,記得有一次我們發現某節日公司發禮品自選平臺有漏洞,我們的安全人員邊測試漏洞邊超限訂了一大波禮品,把數據庫搞亂了,最后是我司行政MM們很耐心的一個一個給員工打電話核實所選禮品,一點都沒有生安全攻城獅的氣哦(??? )
原知道創宇 Seebug 漏洞平臺負責人 張祖優:
技術人員寫腳本代替人工很正常,不然怎么會有各種軟件出現。至于腳本失控搶那么多,有秒殺應用本身缺陷在,寫腳本的人沒想到很正常。
按當事人說法那么快開除我覺得說不過去,上升到價值觀,這個我其實沒法理解哈,開人的速度有點快。
反正我覺得技術無罪,只是正好碰上秒搶程序上有漏洞,于是產生一系列問題。另外,假如當事人說的只是為了搶一盒月餅,我不覺得用腳本搶有什么問題,又不是說惡意的黃牛行為。不過如果有公司有規定除外,有些公司有底線,一觸犯就沒二話可言,這能理解。
360 網絡攻防實驗室老大 林偉:
阿里月餅事件我個人的幾點意見:這個事情完全可以壞事變好事。,
1、把月餅作為獎勵鼓勵安全研究人員發現漏
2、批評業務部門沒走測試流程承擔主要責任,
3、安全測試部門應該提出改進方案避免不提測就發現不了。
4、如果已經提測安全人員做了這個事情,當我上面沒說……
5、過度袒護業務部門,人心皆失,阿里安全人員人人自危,團隊不好帶了……以上,各位細細品味……
6、給四位同學的話,做事不動腦,不如換領導是你們開除了老板,不是老板開除了你,有大把團隊等著搶你們,公司文化很重要,一個好領導很重要。
知名上市公司VP,資深安全人士:
這個事挺特殊,因為信息安全行業或者崗位本身是一種審計/保護/監督的角色,這種行為其實打破了信任關系。古希臘人說:能力越大,責任越大。信息安全從業的人員應該以之自勉。
雖然最后沒有付款,但是“犯罪”中止不代表不需要承擔責任。
雷鋒網發現,2個月前,因“月餅”事件被開除的其中一位技術人員 leon-ready 在知乎上更新了一篇文章,講述了他現在的狀況:
渾渾噩噩過了這一周,一直到現在都有很多朋友私信問我們的去向,以及月餅事件的始末,來不及一一回復,統一回復一下,之后就翻篇了。
承蒙大家關心,也多謝熱心提供工作的朋友們,最后我個人是去了一個相對自由的公司,不大不小但是氛圍很讓我喜歡,明天入職,也希望這件事就此翻篇,以后大家也不用問我的去向了,我也不接受采訪 ,更不想和你們辯論,我已經知錯了,謝謝^ ^。
之后再知乎上我還是會關注前端&安全方向,這個賬號也大部分會回答技術問題和分享技術文章,關注我的吃瓜群眾們覺得無聊的可以取關了 ,當然非常歡迎討論技術問題 : )
由于也有不少同學私信問代碼的問題,反正這個事情都過去了,貼出來給大家看看所謂可怕的"魔法",對,咒語就這么幾句(我都寫了注釋了,懂的人都懂是什么性質)可能也是我人生中最昂貴的代碼了。
扯幾句技術相關的話題,說我沒有設邊界條件的。基本上就是10分鐘寫出來的代碼,當時都沒有抓包,的確沒想到會一直觸發下單。。。而且我也不知道可以設置什么邊界條件,如果有時間看到搶購頁面肯定不會寫腳本了,就想著一直點按鈕下單來著,連dom元素都是我在html搜出來猜測的(所以才有比較奇葩的選擇器,因為不確定能不能選到) ,所以站著說話不腰疼的同學,在技術上我更不想回應了 。
不出意外的話,不準備再回應這個事情了,希望迅速回歸平靜。
親身經歷了輿論暴力的可怕,也親身感受到陌生人的善意,感謝善良的大家,也感謝勇敢的自己,我還是相信,winter is leaving 。
而一名知乎匿名用戶也在9月21日回答:哦 目前還在待業中,作為其中一員,我隨時同步其它幾位的情況。
在《因搶一個月餅慘遭阿里開除 如今的他這樣生活》的稿件中,被開除的“莫念”這樣表示:他現在在杭州一家互聯網公司上班。由于之前去的都是大公司,這次他特意選擇了一家小公司。“選擇小公司是希望能有一個更自由,能夠一起成長的環境。”
注:本文部分資料來源于雷鋒網已發表報道、網絡公開資料、新聞報道及知乎問答。
PS:2016 年即將結束。當我們回望這一年,無論艱難還是幸運,這年仿佛過得飛快。「2016 影響因子」是雷鋒網在高速運轉的科技行當里,在不斷發生和被人忘記的事件中,試圖在各個領域篩選出那些我們認為可能對當下和未來產生深遠影響的因素。2016 影響因子,就是 2016 年值得記錄的人、事、公司和技術。
本文是 2016 影響因子之「阿里月餅事件」。歡迎向我們推薦 2016 年在網絡安全領域值得記錄的其他因子(微信:qinqin0511)。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
專題
