携程事件引发的思考

2015年06月03日

叶茂常

吾友大熊在上海创业多年，招聘过不少工程师，他的黑名单里有两家上海互联网公司，凡是从这两家公司出来的工程师一概不录用，其中有一家前些天出事了，就是说走就走的携程。还有一家是什么公司他一直不肯说，当然我心中也有几家候选的公司，打死我也不会说的。

自从盛大没落以后，携程已经成为上海互联网公司的骄傲，四位交大的毕业生将其搞成了中国旅游行业老大，然后有三位创始人离开，一位去美国研究人口与计划生育，一位去香港成为了风投大鳄，一位二次创业三次创业专心经营旅馆事业，剩下的这位创始人善于管理客服，是守成的不二人选，多年来兢兢业业，守住了这个摊子，直到人口学家梁建章回来，发现旅游圈风起云涌，冒出了好多抢生意的小强盗，只好重新披挂上阵，好一阵子的买买买，终于将携程的江山稳住了。

且看携程近年来的收购名单：

携程的投资并购可谓大开大合，我们同时可以注意到，携程收购的公司，没有一家是技术型的公司，所以业内对于携程轻视技术的看法由来已久，于是就有了昨天12个小时才修复宕机故障的故事。

这是携程一年来爆发的第二次安全事件。去年3月份，携程安全支付日志在多处网站可随意下载，导致大量用户银行卡信息泄露(包含持卡人姓名****、银行卡号、卡CVV码、6位卡Bin)。另据《法制晚报》微博透露，5月25日曾有人在乌云平台公布了一个有关携程服务器的部署漏洞，结果该信息被携程官方无情地忽略。

去年的信息泄露事件给携程敲响了警钟，但是，经历了一次信息泄露事故的携程，显然没有意识到信息安全的重要性。从这一角度来看，携程服务器宕机12个小时，损失上千万美元，凶手不是别人，而是自己，这是典型的自杀行为，折射出携程在技术管理方面存在的重大安全隐患。

话说在中国互联网圈子里，技术最强的公司有哪些？土人觉得BAT当然是属于第一集团的，他们储备人才众多，尤其是雪藏了很多怪才，如果一定要在BAT中做个兵器榜排名，那土人给出的排名是ATB，此问题仁者见仁，智者见智，只是个人多年来的感觉。那么除了BAT之外呢？我会列出几家在各自领域技术储备较深的公司，排名不分先后：360，金山（含猎豹），美团，优酷，去哪儿。如果要算上硬件公司，那就没底了，华为一家的专利就要超过所有上面公司的总和，这完全不是一个数量级。

携程事件也扯出了黑客的联想，当然最新的声明是员工误操作，但是仍然不能排除是内部员工或者外部黑客破坏的可能性。其实在中国互联网发展历史上，黑客一直是默默战斗在隐蔽战线的重要力量。

互联网发展十几年来，经典案例数不胜数，3Q大战不仅是公关大战，也是黑客大战，百度当年对战谷歌更是好戏连连，在视频网站竞争白热化的阶段，竞争各方在对方上传恶意视频栽赃举报的事例每天都在发生。

其实当年，笔者本人也曾参与或者说领导过与企鹅的黑客之战，并且依赖技术储备取得了胜利， 现在风投最喜欢问创业者的问题是：“如果企鹅做你的领域，你怎么办？”这个问题其实很简单，拼尽全力把企鹅挡住或挤出去，胜利的天平取决于谁更强，而非谁更大，光脚的不怕穿鞋的，就是这个理儿。

笔者多年前曾供职于一家垂直平台公司，好不容易用户做起来了，然后企鹅看到市场很好就突然进来了，眼见着企鹅的在线人数蹭蹭蹭地往上涨，而我们平台正处于被收购和融资的关键期，怎么办？几位核心研发人员连夜工作，终于发现了企鹅平台中存在一个关键漏洞，并且写出了针对该漏洞的攻击程序。我找了一个信得过的客服人员，找了一个黑屋子部署了十几台电脑，然后在每台电脑上开启数十个脚本进程轮番发动攻击，为了不让对方发现漏洞的存在，我用算法分散了攻击的频率和目标，争取让企鹅的用户觉得有明显的不适但是会认为是企鹅平台不稳定，但是又不至于让企鹅察觉到是因为外部攻击的存在。经过连续几个月的攻击，我们成功止住了企鹅平台用户增长的趋势，并且帮助公司被某上市公司成功收购。

最近的互联网，安全事故层出不穷，仅仅在5月，就已经发生多起互联网安全事故。5月27日，部分网友称支付宝故障，账号无法登录或支付。支付宝方回应称该故障是由于杭州市萧山区某地光纤被 挖断导致。随后支付宝方将用户请求切换至其他机房，受影响的用户逐步恢复。5月10日晚间陌陌科技在微博上宣布“由于网络故障，陌陌暂时无法正常使用”，引发无数网友吐槽。5月11日晚9点多，网易也宣布其骨干网络受到了攻击，导致其移动应用、游戏无法访问、刷新。此前，微信和QQ也先后出现了断网事件。互联网行业关于数据灾难备份这件事，目前可能只有百度、阿里巴巴和腾讯等大公司做得比较好，其他公司可能较弱，“毕竟做一模一样的数据，成本很高”。

这些安全事件，为这些互联网公司在预防灾难性事件和内部安全管理方面敲响警钟。土人还是那句话，抓安全工作，要从企业的当家人开始，老板重视了，一切都好办。

最近在看小米的《参与感》，其中讲到，每当小米要开放抢购的时候，工程师们都要虔诚地祭起香炉，默念佛经保佑服务器不宕机，而据阿里的同学们讲，阿里在双十一前的迷信活动更铺张。土人觉得，凡事能做到尽人事听天命，但求无愧于心，其他就随缘吧。