再过半个月,就到了有圣诞老人和发苹果的日子了。
一到这种和“吃”有关的节日(虽然对吃货而言,每个节日都和吃有关),不禁想起2016年中秋那场和“吃”有关的“惨案”。在2016年与网络安全相关的大事件盘点中,这一事件有些特别:它不是什么和技术、黑客紧密结合的大事件,却与安全部的几位写脚本抢月饼的安全工程师以及一家知名互联网公司相关。
几个月过去,那些“被离职”的安全人员和月饼怎么样了?
在探究这个问题前,雷锋网先复盘一下这场由月饼引发的“惨案”。
阿里在内部搞了一个中秋抢月饼的活动,不过阿里安全的四位童鞋却狂拽酷炫地秀了一把黑客技术,不动声色地多刷了124盒月饼。然而,这件事情却迅速发酵。根据内部决定,为了维护企业文化,阿里巴巴居然决定“挥泪斩马谡”,把这四位童鞋给开除了。
后来,在阿里巴巴集团首席人力官蒋芳写给员工的内部信中,这一人数上升到5人。
“9月12日,安全部4位同学和阿里云安全团队的1位同学,用编写脚本代码方式,在公开秒杀月饼的内部活动“秒到”了133盒月饼。
首席风险官刘振飞及阿里云总裁胡晓明在与上述同学经过非常坦诚的沟通之后,公司对上述同学做出了劝退的决定。这不是一个容易做出的决定,也不是一个可以得到各方面理解的决定,这个决定也让公司再次成为舆论的风暴眼。”
除开外挂抢月饼的这5名工程师之外,当初截图公司内网对该事处置内容并外传的一名同事也极有可能被开除。就是下面这张截图,虽然没有水印,但是网传可以通过特殊结束手段追踪溯源。当然,事后这名员工是否已经确认遭到开除处理,并没有任何公开消息可以查证。
对于阿里“月饼”事件,被开除员工是否应该受到这么严厉的处罚?这是舆论的焦点。
被开除的其中一位当事人在事件发生后在知乎上进行了回答。
作为事件的当事人,忍不住说几句,第一次经历这种事情也是有点懵逼。
事情经过:
9.12 14:00 听说开始秒杀月饼了,中秋想去一个亲戚家,公司发的月饼送人了,于是想 秒一个。
刚开始用手点发现打开就没了。看了下有人用程序刷,于是我和旁边同事说,我也得写个脚本了,要不然抢不到了,于是写了一段js,大概就是如果按钮变成了秒杀就狂点(和12306抢票插件类似),然后处理下验证码。写了个定时器抢16:00的那一批。
由于之前没进入过付款页面,以为和正常的秒杀页面一样,抢到了就会跳转到支付,所以完全没放在心上就去工作了。结果到16:00一看傻眼了,那个页面秒杀可以一直点然后不跳转!我看了下一公是抢了16个(都没付款),然后赶紧给行政打电话说要退,这个我周围的同事都可以作证。
后来的事情我也是猝不及防,16:30 约谈,17:30 解约合同就备好了,18:00走人,走之前还特意问了下需不需要交接工作,大家都不care,走的事情比较重要。
好吧,这是我经历过最快的离职,也许也是可以排进逗逼榜了。
最后说几句:
1 我的确是只想买一个月饼,这个周围同事都可以做证,代码还在呢。。。
2 我承认我用了脚本,技术压制,对其他人不公平,所以我认,对结果我没什么意见。
3 但是如果这都上升到价值观、诚信、不当获利(黑人问号???),我赚了一分钱了?我就想给自己抢一个月饼啊。。。
4 还是检讨一下,作为安全工程师的确不应该做出这种出格的事情。但我拒绝承认我人品有问题。
5 还是匿了,也不是什么光彩的事情。
6 求工作。。。
而被开除的第五人阿里云安全的叶敏的网传朋友圈截图如下:
[图片来自知乎用户luka]
以下内容整理自事件当事人回答下的评论,雷锋网宅客频道(公众号 ID:letshome)选取了几个点赞数高的观点。
YiyuanLiu:心疼答主。。
林受菌:心疼一分钟 看到上面说 云舒大大在招人哈哈哈
知乎用户:这不是人品问题,这是充分发挥技术优势。请人事别用电脑系统了,这是对不会电脑的人事不正当竞争。
知乎用户:这回答应该把具体采用的方案写详细点,然后把代码公布,最后分析下有什么漏洞以及如何预防,这样就是一份不错的简历了。
郭朕:第一,阿里不缺人;第二,你破坏了规则。
Garfield:重点是你们几个抢了HR的月饼,把HR惹毛了.但是阿里的HR特权好高,开人这么大的事也不用开个会研究下,两小时就把人开啦……
花墨洒:阿里做到今天,诚信不仅仅是价值观,也是立身之本。规定了没人限量三盒,而且说了因为信任所以简单。你用脚本刷月饼,你叫其他同学怎么看安全部,你叫外面的商家和买家怎么看阿里。还有要把你招过去,呵呵哒,监守自盗的人也敢要那真是醉了。
360无线电硬件实验室掌门人 杨卿:
如果在我们这,跪的会是写出那套平台的相关人员。
以在360信息安全部多年的工作经验上假想,如果出现了月饼事件,发现漏洞的安全人员(毕竟我们这"黑客"太多)一定是会及时报告给信息安全部,由我们督促存在漏洞的业务系统的研发人员进行修复。
而且公司研发的小伙伴早就习惯了被我们严苛的安全标准所"虐待",安全的使命感会让大家快速响应并配合我们将漏洞修复,肯定不会有什么被离职的情况发生,毕竟360是以安全文化为导向的企业,记得有一次我们发现某节日公司发礼品自选平台有漏洞,我们的安全人员边测试漏洞边超限订了一大波礼品,把数据库搞乱了,最后是我司行政MM们很耐心的一个一个给员工打电话核实所选礼品,一点都没有生安全攻城狮的气哦(¬‿¬ )
原知道创宇 Seebug 漏洞平台负责人 张祖优:
技术人员写脚本代替人工很正常,不然怎么会有各种软件出现。至于脚本失控抢那么多,有秒杀应用本身缺陷在,写脚本的人没想到很正常。
按当事人说法那么快开除我觉得说不过去,上升到价值观,这个我其实没法理解哈,开人的速度有点快。
反正我觉得技术无罪,只是正好碰上秒抢程序上有漏洞,于是产生一系列问题。另外,假如当事人说的只是为了抢一盒月饼,我不觉得用脚本抢有什么问题,又不是说恶意的黄牛行为。不过如果有公司有规定除外,有些公司有底线,一触犯就没二话可言,这能理解。
360 网络攻防实验室老大 林伟:
阿里月饼事件我个人的几点意见:这个事情完全可以坏事变好事。,
1、把月饼作为奖励鼓励安全研究人员发现漏
2、批评业务部门没走测试流程承担主要责任,
3、安全测试部门应该提出改进方案避免不提测就发现不了。
4、如果已经提测安全人员做了这个事情,当我上面没说……
5、过度袒护业务部门,人心皆失,阿里安全人员人人自危,团队不好带了……以上,各位细细品味……
6、给四位同学的话,做事不动脑,不如换领导是你们开除了老板,不是老板开除了你,有大把团队等着抢你们,公司文化很重要,一个好领导很重要。
知名上市公司VP,资深安全人士:
这个事挺特殊,因为信息安全行业或者岗位本身是一种审计/保护/监督的角色,这种行为其实打破了信任关系。古希腊人说:能力越大,责任越大。信息安全从业的人员应该以之自勉。
虽然最后没有付款,但是“犯罪”中止不代表不需要承担责任。
雷锋网发现,2个月前,因“月饼”事件被开除的其中一位技术人员 leon-ready 在知乎上更新了一篇文章,讲述了他现在的状况:
浑浑噩噩过了这一周,一直到现在都有很多朋友私信问我们的去向,以及月饼事件的始末,来不及一一回复,统一回复一下,之后就翻篇了。
承蒙大家关心,也多谢热心提供工作的朋友们,最后我个人是去了一个相对自由的公司,不大不小但是氛围很让我喜欢,明天入职,也希望这件事就此翻篇,以后大家也不用问我的去向了,我也不接受采访 ,更不想和你们辩论,我已经知错了,谢谢^ ^。
之后再知乎上我还是会关注前端&安全方向,这个账号也大部分会回答技术问题和分享技术文章,关注我的吃瓜群众们觉得无聊的可以取关了 ,当然非常欢迎讨论技术问题 : )
由于也有不少同学私信问代码的问题,反正这个事情都过去了,贴出来给大家看看所谓可怕的"魔法",对,咒语就这么几句(我都写了注释了,懂的人都懂是什么性质)可能也是我人生中最昂贵的代码了。
扯几句技术相关的话题,说我没有设边界条件的。基本上就是10分钟写出来的代码,当时都没有抓包,的确没想到会一直触发下单。。。而且我也不知道可以设置什么边界条件,如果有时间看到抢购页面肯定不会写脚本了,就想着一直点按钮下单来着,连dom元素都是我在html搜出来猜测的(所以才有比较奇葩的选择器,因为不确定能不能选到) ,所以站着说话不腰疼的同学,在技术上我更不想回应了 。
不出意外的话,不准备再回应这个事情了,希望迅速回归平静。
亲身经历了舆论暴力的可怕,也亲身感受到陌生人的善意,感谢善良的大家,也感谢勇敢的自己,我还是相信,winter is leaving 。
而一名知乎匿名用户也在9月21日回答:哦 目前还在待业中,作为其中一员,我随时同步其它几位的情况。
在《因抢一个月饼惨遭阿里开除 如今的他这样生活》的稿件中,被开除的“莫念”这样表示:他现在在杭州一家互联网公司上班。由于之前去的都是大公司,这次他特意选择了一家小公司。“选择小公司是希望能有一个更自由,能够一起成长的环境。”
注:本文部分资料来源于雷锋网已发表报道、网络公开资料、新闻报道及知乎问答。
PS:2016 年即将结束。当我们回望这一年,无论艰难还是幸运,这年仿佛过得飞快。「2016 影响因子」是雷锋网在高速运转的科技行当里,在不断发生和被人忘记的事件中,试图在各个领域筛选出那些我们认为可能对当下和未来产生深远影响的因素。2016 影响因子,就是 2016 年值得记录的人、事、公司和技术。
本文是 2016 影响因子之「阿里月饼事件」。欢迎向我们推荐 2016 年在网络安全领域值得记录的其他因子(微信:qinqin0511)。