扫码打开虎嗅APP
阿里巴巴的“月饼门”火了。昨天(9月12日)在内部抢购抢购月饼的时候,阿里的五名技术人员利用js脚本刷单,然后有四个被开除。知乎上有被开除的员工现身说法,认为自己根本不是利用漏洞来获利,只是无心之失。
1、阿里的HR,几乎每隔一年,就会在知乎火上一次,而且已经有了段子:阿里内网的技术升级,永远来自HR的强力驱动。曾经因为马云抱怨内网信息总是外泄,HR连夜催着技术给每个员工的访问界面增加了一层肉眼不可识别的单独匹配代码,这样在截图出去的时候,技术可以根据图片锁定是谁截的这张图。去年,阿里的HR又伪造离职谈话记录,被愤怒的离职员工贴到知乎,阿里对HR只是处以记过处分,而负责开发内网的团队则因「安全事故」——就是让离职员工看到面谈记录——被打了不合格的绩效。有人翻出马云在2010年声称「阿里内网要向全社会开放、公开透明是阿里的企业文化」的发言,倒是证明了言多必失的古老道理。
2、「月饼事件」在两个圈子里呈现出了截然不同的舆论倾向,我的微信朋友圈里——成员多以互联网从业者为主——大部分都为那四个程序员叫屈,认为阿里的奇葩HR又是在展示他们价值观的地板,而在微博上,那些将之视作公共事件的看客,则大都奇怪于为什么开除这种监守自盗的员工也会引起轩然大波。毋庸置疑的是,观念的迥异取决于立场的割裂,每个人都试图扮演其中一方的角色,并将利益得失代入其中,有人体验居安思危,有人感到为民除害。
3、在看到当时员工的自述之前,我也以为这几个程序员是用了多么高端的技术手段攻破了阿里的安全系统,结果原来仅仅只是写了一个不间断提交申请的脚本,在网页端完成了秒杀活动所需要的行为条件。这种做法,委实和春运时期网民们通过各种工具到12306抢票没有任何分别,当12306升级算法时你们倒是骂得痛快觉得又给人民添堵了,怎么换到这次事件里你们又站在道德的制高点上大骂作弊者不要脸了呢。
4、即使是为了保障公平的目的,前置的制度设计也远比后置的解释权力要更加有效,阿里本身没有对活动做出「同一帐号只能购买一次」的设置,导致重复购买都被算入库存消耗,有人阴差阳错且在没有造成实际损失——那几个程序员主动向上级报备了这次事故——的情况下,这差不多是教科书式的白帽子案例,也提供了解决漏洞的契机。
5、当然,当乌云仍在「因故升级」的时期,这套白帽子的逻辑可能无法得到多少认同,它有点像是将某些互联网文化纳入法外之地的诡辩。然而事实就是如此,在西方互联网,黑客的恶作剧精神源自海盗传统——迄今为止,苹果每年生日都还会在库萨比诺的总部升起骷髅旗——这种挑战法律和规则的叛逆造就了互联网对于开源和自由的信仰,也让各种开放式的协议组成了人人皆可享用而不受到任何政权支配的数字世界。
6、然而,白帽子的所作所为在事实上相当于有人撬了你家的门锁,发现了装置的漏洞,然后通报了你,有人感谢撬锁者帮助自己排除了一项安全隐患,也有人控诉撬锁者侵犯了自己的住宅,不同的认知将会递进出不同的态度。尽管即使是最简单的经济学原理也告诉我们扼杀白帽子看似能够带来一个短期内的安全环境但在长期看来会让安全隐患不断滋生最终酿成大祸,只是社会的接受程度决定了这种舶来文化的生存空间,别无他法。美国国防部旗下一百个多网站在去年发生了不同规模的信息泄露事件,导致五角大楼在今年年初拿出数十万美元奖励那些攻破政府网站的白帽子,以便于自己提高查找和修复漏洞的效率。
7、事实上,在2014年,支付宝也曾被白帽子找到过一个登录漏洞,在公布之后,阿里向白帽子奖励了5万元人民币,还发出公告,继续拿出500万重奖那些有能力突破阿里安全防线的白帽子,这种态度在当时获得了相当高的业界评价。
8、从「月饼事件」谈到白帽子或许有些小题大做,但因「月饼事件」而开除员工并让后者背负职业污点——这在企业用人时的背景调查相当致命——同样显得小题大做。这种手法承应于阿里内部反腐运动的高压线,希望起到杀鸡儆猴的恐吓作用,但是拿着金牌令箭斩人上瘾的快感,大概只会复兴东厂式的威风。是的,就算你一万次强调1983年的「严打」不搞不行那时的车匪路霸已经嚣张上天了,我也会一万次的回复你把一个为自己女朋友拍了几张裸照的男青年判处死刑是他妈的脑子抽风。
9、我要说的是,这的确属于企业文化的选择问题,无论企业如何作为,它都必然有着合乎情理的缘由,并对企业的形象做出客观上的锚定。令人遗憾的是,在远不到最为恶劣的条件时,事情有了最为恶劣的结果,这种伤害对于阿里这家公司本身,也没有那么容易被忽视。你要了农民的温顺和驯服,就别指望得到海盗的桀骜和灵性,求仁得仁。
10、说了这么多,谁给我寄一盒阿里的月饼尝尝?
作者 阑夕 微信公众账号:techread