1、背景:《阿里巴巴安全部门的月饼事件》
其实也不算利用漏洞,就是内部人员花几分钟写了一个JS脚本,在浏览器执行,以飞快的速度刷新,可能因为内部临时使用,抢购程序服务器端代码不完善,未做限制,抢购者也没有做代码测试,结果本想买一盒的变成多抢了几盒,虽然并未付款并主动要求退单,但还是被公司在一个小时内开除!
2、当时人回应
以下内容引自知乎一自称当事人的匿名用户:
作为事件的当事人,忍不住说几句,第一次经历这种事情也是有点懵逼。
事情经过:
9.12 14:00 听说开始秒杀月饼了,中秋想去一个亲戚家,公司发的月饼送人了,于是想 秒一个。
刚开始用手点发现打开就没了。看了下有人用程序刷,于是我和旁边同事说,我也得写个脚本了,要不然抢不到了,于是写了一段js,大概就是如果按钮变成了秒杀就狂点(和12306抢票插件类似),然后处理下验证码。写了个定时器抢16:00的那一批。
由于之前没进入过付款页面,以为和正常的秒杀页面一样,抢到了就会跳转到支付,所以完全没放在心上就去工作了。结果到16:00一看傻眼了,那个页面秒杀可以一直点然后不跳转!我看了下一公是抢了16个(都没付款),然后赶紧给行政打电话说要退,这个我周围的同事都可以作证。
后来的事情我也是猝不及防,16:30 约谈,17:30 解约合同就备好了,18:00走人,走之前还特意问了下需不需要交接工作,大家都不care,走的事情比较重要。
好吧,这是我经历过最快的离职,也许也是可以排进逗逼榜了。
最后说几句:
1 我的确是只想买一个月饼,这个周围同事都可以做证,代码还在呢。。。
2 我承认我用了脚本,技术压制,对其他人不公平,所以我认,对结果我没什么意见。
3 但是如果这都上升到价值观、诚信、不当获利(黑人问号???),我赚了一分钱了?我就想给自己抢一个月饼啊。。。
4 还是检讨一下,作为安全工程师的确不应该做出这种出格的事情。但我拒绝承认我人品有问题。
5 还是匿了,也不是什么光彩的事情。
6 求工作。。。
3、为什么这么急的开除相关人员?
几个月饼为什么要急吼吼的做出全套开除动作?单单HR有这么大能量?
只有一个解释合理:领导怕大家对淘宝(甚至阿里)的秒杀等所有类似抢购活动失去信心!比如广大吃瓜群众认为:哦,原来秒杀活动有内部人员可以作弊。这对阿里的品牌伤害将不可估量,如果到那一步,估计相关领导也待不住了。于是一件小事就上升到价值观的高度,手起刀落,杀了肇事者,送黑锅一口,就是想告诉大家:看看,我们对这种行为是零容忍,这是个人行为已被严肃处理,你们放心的淘宝秒杀去吧。
古有“诸葛亮挥泪斩马谡”,前有“马云挥泪“斩”卫哲,今有阿里HR快刀“斩”员工,其实道理都一样:锅总是要人背的,两害相权取其轻,关价值观屁事。
