如何看待阿里巴巴安全部门的月饼事件?

补充:不是利用漏洞,是几个程序员写了个js脚本(定时点击,原理和阿里旅行抢票类似)抢购月饼,并且最后并没有付款。(劝退的这五个员工都是做安全相关的,不是做开发的。)补充:参与此事的第六人观点:如何看待阿里巴巴安全部门的月饼事件? - 匿名用户的回答补充:阿里官方回应:阿里官方回应“月饼事件”:这不是一个容易做出的决定补充:据阿里巴巴官方消息,涉事五人全部被劝退,包括阿里云安全的第五个员工。背景介绍:阿里集团中秋前夕,会给每个人一盒月饼,如果需要多买的话需要提前一个月预定,这样在制作月饼时,就会根据预定的数量,增加定制的月饼数,对于个人来说,这个预定可以是无上限的,但是错过预定时间就没有了。所以到中秋前发月饼时,有的同学就会“求之前有预定的同学转让”。原价59元一盒,据说内网已经炒到200元一盒。从前两天开始,开始把剩余的月饼拿出来秒杀,一人限购3盒。第一轮900多盒月饼10秒钟左右全部被人购买一空。后面几轮也是一下子结束了。于是有不甘心的同学们去翻秒杀记录,发现有四位同学是在短时间内,一次秒杀超过9盒,就是安全部的同学。接着,就有人在内网提出质疑,爆发了舆论。接着秒杀的当事人发帖道歉,说自己是想测试一下秒杀脚本,没想到脚本会导致购买行为异常,所以才抢了这么多月饼。(据当事人发帖自述”在内网发帖前打电话和行政备案过“),目前网上流传的消息是这四位同学,最少的秒杀了9盒,最多的秒杀了66盒。…显示全部

【leonlee的回答(37598票)】:

作为事件的当事人,忍不住说几句,第一次经历这种事情也是有点懵逼。

事情经过:

9.12 14:00 听说开始秒杀月饼了,中秋想去一个亲戚家,公司发的月饼送人了,于是想 秒一个

刚开始用手点发现打开就没了。看了下有人用程序刷,于是我和旁边同事说,我也得写个脚本了,要不然抢不到了,于是写了一段js,大概就是如果按钮变成了秒杀就狂点(和12306抢票插件类似),然后处理下验证码。写了个定时器抢16:00的那一批。

由于之前没进入过付款页面,以为和正常的秒杀页面一样,抢到了就会跳转到支付,所以完全没放在心上就去工作了。结果到16:00一看傻眼了,那个页面秒杀可以一直点然后不跳转!我看了下一共是抢了16个(都没付款),然后赶紧给行政打电话说要退,这个我周围的同事都可以作证。

后来的事情我也是猝不及防,16:30 约谈,17:30 解约合同就备好了,18:00走人,走之前还特意问了下需不需要交接工作,大家都不care,走的事情比较重要。

好吧,这是我经历过最快的离职,也许也是可以排进逗逼榜了。

最后说几句:

1 我的确是只想买一个月饼,这个周围同事都可以做证,代码还在呢。。。

2 我承认我用了脚本,技术压制,对其他人不公平,所以我认,对结果我没什么意见。

3 但是如果这都上升到价值观、诚信、不当获利(黑人问号???),我赚了一分钱了?我就想给自己抢一个月饼啊。。。

4 还是检讨一下,作为安全工程师的确不应该做出这种出格的事情。但我拒绝承认我人品有问题。

5 还是匿了,也不是什么光彩的事情。

6 求工作。。。

----分割下----

----16:19----

统一回复下,没想把事情闹大,从头至尾我都没评论公司的做法有什么问题,在公司的角度上来说,错了就是错了,我也没有赖着不走,我只是看到了忍不住描述一下事情的经过。

另外我知道行业底线,虽然我做得不妥,但不要拿这个事情来进行恶意揣测和人身攻击,不至于,谢谢。

-----9.15 08:18------

想早点翻篇看来没那么容易了,都上cctv了,人生圆满。

1 真是感谢各位媒体和吃瓜群众们有意无意的转发不打码的图片,现在周围的亲朋好友都知道了,对我的生活造成了很大的困扰。还有那些媒体朋友们大肆渲染的标题,年纪大一点的人我解释不清楚的好吗?求放过

2 我想我们都认同了游戏规则也受到了足够的处罚,就不劳各位一直咬着不放了,一夜之间被扫地出门以及背负骂名的感觉可能也没几个人体会过吧。

3 我没有收到过要保护这个系统的任务,没有守,都是实名登录的,更没想傻到想去盗。我也没有什么权力,我也是第一次看到秒杀月饼的页面。在这个事情上,安全工程师的title没有给我带来任何便利。所以我个人觉得也不能作为攻击的焦点。

4 我没有喊冤更没有人会觉得这事有什么骄傲,也不是来博取大家同情的,写这么多就是想作为当事人还原一下经过,本来也不想带什么感情色彩,可能会忍不住,最主要的目的是担心以讹传讹的事情发生。

5 我从头到尾都尊重公司的决定,也热爱和赞同过公司,不然也不会千里迢迢从北京跑来杭州。我没想过和公司讨说法之类的事情,现在就想让这件事早点过去,所以也希望公关同事或者是媒体让这件事自己消散吧,别再出pr稿了,互相体谅一下。而且我就离职前迅速的和四个人谈过话,剩下的人都没沟通过,写出来真的不一定客观,世上无完事,如果一直要纠结的话,有些公司的处理方式说出来也可能会被扣上各种帽子。

6 我工资很低还有房贷,混的很惨,觉得阿里工资高还犯错就该死的人也求放过。

7 每天都不知道明天会发生什么,最近半年感觉一直生活在段子里。非常非常非常感谢云总和各位阿里的同事以及前同事朋友们的鼓励和帮助,没有你们遇到这种事可能我现在不一定什么样了。我当初来阿里很大一部分原因就是冲着云总,在出事之后云总第一时间帮助我们,也没什么遗憾了。

8 我不想炒作,没想到这么多人推荐工作,到现在也没有联系过知乎上任何工作机会,也不会通过这种渠道找工作了,谢谢大家,提供工作的朋友们别被利用了。

9 反正都知道了,一无所有也没什么好怕的了,取匿吧,躲也躲不过。 我不代表我的几个同事,大家对我有什么意见不用带上他们。

【CFMars的回答(384票)】:

作为一个前管理类咨询人士和在读管理博士,我想从企业价值这个方向评论一下:处理这个事件的HR有欠考究。我的核心论点:(1)任何行为都是复杂、多层的价值体现,在没有法规可依的情况下用价值观来赏罚个体行为,要先对行为进行细致、谨慎的拆分。(2)注意保护子文化/子价值

这里讨论有个假设,此事件没办法使用员工守则或者TC来赏罚此行为,否则阿里就应该用“明文规定内网抢单不许用代码”或者“上班时间不能写这种代码”来开除五名程序员,这样既不会落得大家的口舌,也不会要“高层”反复复盘3-4小时才做出最终决定。用价值观直接进行赏罚处理行为决策,都是要尽量避免的,只有在不得已的情况下才动用。理想情况下,价值观应该直接指导的是法规(rules and regulations),再用法规来约束、嘉奖个人行为。类似道德和法制之间的区别。下文有提到,价值观本身就只是指导思想,而非行为准则,因为多个价值之间也会有冲突。

首先,写代码抢单(或者说不进行这行为)并不是一个价值。正直(integrity)、公平(Fair)、客户至上(Customer First)这种才是价值。的确,写代码抢单这个行为有违正直、公平的价值(如果这些价值是阿里的核心价值)

但是,任何行为都不是单一价值的体现。写代码抢单这个行为并不单一是缺乏诚信的体现。这里有个概念,企业子文化/子价值Organization subculture and subvalues[1]。每个企业,不同部门,不同职位,都有各自职责的子价值,这些子价值有的时候与企业价值有所矛盾,但是是企业生态非常重要的组成部分。比如,一家以研发为主的高科技企业,主体价值是创新、探索;但是它的内部compliance合规审计部门却需要有谨慎、低风险的子价值。这些子价值在某些特定事件上会与主体价值冲突。

然后,需要注意的是,即便在主体价值之间,也会产生价值冲突[2],只要一个企业有超过两个价值(阿里好想说有六个)。比如,客户耍无赖诬陷客服,但是证据有不太明晰;这时候,公平和客户至上两个价值你要如何抉择呢?

(Schwartz价值图。这只是个二维演示,越靠近的价值约不容易冲突。注:这里是个人价值。)

回到阿里事件,写码抢单这个行为有违阿里企业的总体价值,但是却遵循了程序员这个行业geek、探索的子价值。对这个行为进行一股脑儿的惩罚,也是对程序员行业子价值的打压。这绝对会让内部码农感到心寒,工作缺乏探索精神;让市场上的其他码农对阿里望而却步,大大增加企业人力成本开支。

比较好的处理方法,把写码抢单的行为进行分割,抢单(抢一单无罪,30单就伤害他人利益的投机行为了)行为要进行惩罚(扣奖金、记过、通报、甚至开除等),但是对于探索脚本漏洞、并且上报的行为进行嘉奖(如果当中有人主动汇报漏洞,可以把月饼免费送个他,并表彰)。惩罚和嘉奖是可以同时进行的。

结论,不要拿着企业总体价值一棒把所有行为打死,要尊重子文化和子价值。企业是一个动态生态圈。即便阿里是一家网络商业公司而非技术公司,也需要保持子价值多元化,这些子价值是企业生态圈不可或缺的一部分。最好的例子,某个国家曾经拿国家层级的文化和价值驱逐每一个子群,所有的行为被套上国家层级价值的放大镜审视(哪怕是学术行为),让无数教育工作者、科研学者心寒。

话说,阿里六脉神剑里不是也有一剑是勇于创新和挑战吗?

PS. 阿里惩罚甚至开除员工,只要不违反合同法,都无可后非,阿里只需要为自己决策的利弊买单,我们无权指责(参见1991年诺奖得主Coase的Theory of the Firm和2009年诺奖得主Williamson的Transaction Cost Theory,公司之于市场的优势,就是在合同法规模糊的情况下动用体制来防止钻漏洞的行为。如果这是一个对外的抢购活动,而没有触犯法规钻漏洞抢了几百盒月饼的程序员不是阿里的员工,别说惩罚了,少卖一个月饼阿里都可能吃官司,因为市场行为体制行为是不同的。价值观就是典型的体质行为,而非市场行为)。强化企业主体价值是正确的做法,只是手法(不进行切割)有待商榷。本回答完全是站在HR或者阿里管理层的立场,用另一个角度分析阿里团队决策对公司本身的利弊,以及替代方案。

PS2. 回来补充。让我用一个侧证阿里码农写码抢单的行为是多价值的体现:360、腾讯等高调给5位码农提供offer。如果写码抢单的行为只是单一体现了钻漏洞、谋私利、不正直这些价值,鹅厂的高调offer不就是在和内部码农说,“谋私利是值得赞赏的,你们赶紧了”,和市场上的码农说,“你们谁喜欢钻漏洞谋私就来我厂,这里符合你们的价值观”吗?显然不是。鹅厂等消费此事件,传递的信息是“我们是一家工程师价值、Geek价值的企业”,起码他们的意向是这样,(95%正常的)码农们的解读应该也是这样的吧。试想如果阿里有员工贪污,鹅厂等会给offer?

PS3. 再补充一个:为啥要保护子价值。在传统的资本主导的企业体系中(比如传统的、底特律系的汽车制造业,注意不是特斯拉这种;再比如富士康),资本实力是企业的核心竞争力,资本越多,建的厂也就越多、流水线越多、雇的员工越多、市场占有率越大、体量效应越高。因此,这类企业的核心是满足资本家、股东和融资渠道(比如银行),企业只需要有一个主题价值:股东利益;所有的价值都围绕这一个价值。更重要的一个现实:我们处在资本决定所有权的市场/法制体系当中(算是资本主义的一种表现吧)。但是,在新兴的知识/技能主导的企业体系中(比如FLAG,比如麦肯锡BCG),企业很大一部体价值现在携带知识和技能本身的参与者身(stakeholder)上,不同的参与者携带不同的知识和技能,HR、码农、销售、营销、运营、产品,甚至客户、政府,各个参与到企业生态当中的参与者都和企业的动态有不可或缺的贡献,子价值与主体价值之间的平衡就更加重要了。在资本主导的企业中,工人跑了,再雇就是了(富士康)。但是在知识/技能主导的企业当中,一个核心的码农跑了、或者一个牛逼的HR跑了,以及名声受损对人力资源成本的影响,是非常可怕的。保护子价值,可以平衡股东与参与者,以及参与者之间的利益。马云爸爸能把阿里做大,有一部分原因就是他的格局大,稀释自己的股权给参与者,把参与者转换成股东,大家都是股东,利益也就统一了。这也是一种平衡参与者利益的方法;但是阿里不可能永远稀释股权,近两年加入的年轻人也很少能分股了,保护子价值可以作为另外的一个平衡参与者价值的方法。参见Shareholder theory(股东理论) v.s. stakeholder theory(利益相关者/参与者理论),这里就不展开了。

Reference:

1. Edgar Schein. Organizational culture and leadership. Wiley(注:MIT Sloan的大牛教授,组织文化和发展方面的奠基人。这本书被引用了2万8千次。有趣的事,此人最早的研究是朝鲜内战中美双方对战俘洗脑的行为)

2. SH Schwartz. 1992. Universals in the content and structure of values. Advances in experimental social psychology(注:价值观方面的大牛。这片文章被引用了1万多次,基本上管理方向的博士生都要读这篇文章)

【李小春的回答(12737票)】:

好多人在好奇怎么有一个没开除,那人是我,也来讲一下事情经过(虽然主管建议我不要去发表东西,我就不说带情绪的话,讲下事实)

我平时几乎不关注内网,昨天同事在说有月饼可以抢,就点进去看了。

在此之前我已经通过正规渠道购买了8盒,再加上公司发的1盒,共9盒,大部分送亲友了,大家收到都很开心,我自己留了一点在家。

作为从事安全的,我看到这种秒杀都会习惯性的想去试试手,周边还有同事怂恿我去搞搞。就写了几行代码,为了不造成太大影响,我设置了循环次数为3(后来又改成了2,但是忘了把新代码粘贴到chrome的console中),到点就抢了3个订单。(这系统服务端没验证csrf token,还能绕过图形验证码提交)

我没有真的想去买月饼,所以也没去付款,我以为这事就呵呵两下过去了,一会内网开始有人在帖子下边@我,再过一会行政部打来电话,到晚饭时主管、HR找我谈话,再晚一点听说集团安全部有人被辞退。

为什么我还没被辞退?

我是阿里云的,和那4个同事不是同一部门,我还在等我这边的老大做决定。非常感激主管在努力为我争取好的结果,但是我已经不在意什么结果了。

---------------补充1----------------

“看到好玩的就想随手测测”,我知道很多人不能理解。我自己也招人,对技术没有好奇心的我一般不会要,特别是安全岗位,不管经历什么我还是会坚持这样的观点,但是动手前要考虑风险。

---------------补充2----------------

一个订单是3盒

---------------补充3----------------

除了同事,这样冰冷的公司没什么值得我留恋,阿里一生黑(阿里云除外)

---------------补充4----------------

有些人不太清楚细节,做最后一个补充

这个事情和漏洞没有关系,也不存在入侵,和以下两行为本质是一样的:

1,全家老少叫过来一起秒杀

2,拿个震动棒放鼠标上

我们只是没有亲自用手指一个一个点击,而是用代码去点击的。

出于好奇心用点不一样的手法而已,希望大家不要把这行为和技术想的太邪恶。

【艾庆兴的回答(823票)】:

借着这个机会吐槽一下阿里hr,面阿里的时候一路技术评价都是A,最后hr面的时候,我提到“高中时候因为当时判断能力有误差误以为浙大教学水平参差不齐以至于没有选择考浙大”。被hr一顿批,最后面完还“奉劝”我做人不要太复杂,后来在内部论坛被我一个学长发帖询问缘由,该帖在内部蛮火的,以至于该hr在给我同学发offer的时候在电话中询问我同学、我人品怎么样,得到她并不想听的答案后,厉声告诉我同学:“如果xxx(指的是我)不服的话就打这个手机过来,让他跟我说”。

我也是醉了…不匿,我人品好坏自然有人评价

【张铎的回答(2579票)】:

大家都忘了当年阿里HR伪造离职员工谈话记录的事情了?这跟脚本抢月饼比起来那个更恶劣?最后处理结果是什么?开了三个码农,因为内部系统权限有问题,让离职人员看到了自己的评价。当时阿里的HR是怎么处理的?知乎上还有一堆尸体答案呢,这得动用了多大的力量来洗地?

所以在这个答案下面讨论脚本抢月饼是不是违背价值观的码农们,别天真了,人家都明着跟你耍流氓了,你还在这里反省自己,是有多自恨?所以这事就是个屁股问题,只要坐在程序员这边的,当然要拼死反抗了,谁知道其他公司HR看着你们这么好骗会不会也学阿里?他们的今天就是你们的明天。

谢谢

/* =============================== */

有人要链接,这是知乎上某个相关的提问

为什么《如何评价阿里 HR 对离职员工谈话造假》的问题下面好多答案都变成「:)」了? - 阿里巴巴集团

从这个问题出发往外点就能看到很多了

谢谢

【云舒的回答(15770票)】:

我很久不上知乎发帖,无意和大家争论,看图吧。

就看啥时候因为抢票违反价值观,把UC这个业务停掉。就看啥时候因为抢票违反价值观,把UC这个业务停掉。

-------------------------------------------

我本来不想在知乎说话的,微博上我也是表示对阿里不满,没有说细节。

但是这会儿看到大家说的什么鬼啊?我真的忍不住了。

这不是抽奖,不是福利,是中秋节剩下的月饼,让员工购买,是购买,购买,购买。

安全部的几个技术宅,写了脚本去买月饼,是买月饼,而且是自己主动向行政部说明情况。

订单还没有成交,然后说违反价值观,被开除了。。。。这是一个技术公司应该做的事情么?我想最多通报批评一下了不得了吧。。。几个年轻的安全技术男的一个技术玩笑,是一个很geek的事情,刷到的月饼是要花钱购买的。

阿里的政治氛围有点过了,阶级斗争这根弦绷得太近,什么问题都能上升到价值观问题。

那食堂吃饭插队也可以算价值观,要不要开除,停车场占了别人车位也能算价值观,要不要开除?

适当让员工活跃一点,geek一点,绝对是好事。

应该开除的,是阿里集团安全部的那几个sb混子,一个个身居高位,我就不点名了。

还好我不屑于跟他们混。

补充一下:即使我还在阿里,我也敢在内网实名顶这几位同学。在职期间,我一样经常在内网发帖骂公司,所以不要跟我扯什么离职了批评老东家。我疯起来谁都批评。

再补充一下:没有什么所谓系统后门系统漏洞,程序也不是这几个安全男开发的啊,那个抢月饼的页面,验证码不是图片,直接是数字写在代码里面的,哈哈哈哈。

最后,很蛋疼,我已经离开知乎很久,想不到被几块月饼炸出来。

【孙朋的回答(6234票)】:

价值观

主要看抢谁家的

好吧,既然这么多赞那就再贴几张图 2016/09/16更新 这次不做任何评论,只陈述

9月13日,@电商报 发微博称:「

【阿里“月饼事件”劝退的四名员工疑似收到腾讯和360橄榄枝】被阿里月饼事件刷屏后,不少人对那四名抢月饼的安全工程师深表同情,据知乎及朋友圈消息爆料,腾讯和奇虎360公司的高层已经发声,请这几位员工给我们投简历。」

当日,阿里巴巴前CMO、合伙人王帅转发这条微博时写道:「哈哈哈哈哈哈,您收好:)」

(尽管这条微博已被删除,但是留下了痕迹。见下图:)

事情还没完,9月14日,阿里首席人力官蒋芳发内部信,复原了整个事件的过程。总结下来这事儿公司高层都知晓并讨论了(其中就有合伙人王帅和创始人马云),中心思想是让这几个人走人「不是个容易的决定」并希望「这几位年轻人想的更远走的更踏实」

您可能对这些内容感兴趣:《市运会颁奖典礼致辞》 《2016羽毛球比赛运动员代表发言稿》 《中华文明赞演讲稿》 《2016年小学教学工作计划》 《2016年总务处工作计划5篇》 《2017年班主任工作计划
评论列表(网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述)
新闻聚焦
热门推荐
返回列表