阿里月饼事件

阿里月饼事件雷锋网读懂智能&未来首页 AI研习社 AI影响因子 活动 专题 精选 爱搞机

业界人工智能智能驾驶AI+ Fintech&区块链未来医疗网络安全AR/VR机器人开发者智能硬件物联网GAIR
网络安全正文
28

阿里内部信公开，月饼事件“神秘第五人”被开除，他是谁？
本文作者：小芹菜 2016-09-15 02:34 专题：阿里“月饼门”事件：124份月饼引发的血案
导语：月饼事件涉及的五名员工全部开除。
不久前，阿里巴巴爆出了重大消息。四名员工因为使用“小技巧”抢月饼，被直接开除。

而当天就有消息传出，“抢月饼”事件的实际参与者是五人。而这最后一个“神秘的人物”，是阿里巴巴集团资深老员工。而今天，这第五名员工终于浮出水面。

9月14晚，阿里巴巴集团首席人力官蒋芳写给员工的内部信在网上流传，信内复盘了阿里管理层们对“月饼事件”处理的前后考量，以及，确定月饼事件涉及的五名员工全部开除。

阿里内部信公开，月饼事件“神秘第五人”被开除，他是谁？

“9月12日，安全部4位同学和阿里云安全团队的1位同学，用编写脚本代码方式，在公开秒杀月饼的内部活动“秒到”了133盒月饼。

首席风险官刘振飞及阿里云总裁胡晓明在与上述同学经过非常坦诚的沟通之后，公司对上述同学做出了劝退的决定。这不是一个容易做出的决定，也不是一个可以得到各方面理解的决定，这个决定也让公司再次成为舆论的风暴眼。”

以上来自蒋芳写给员工的内部信。

第五名员工浮出水面
还记得雷锋网之前发过的月饼事件消息吗？当时负责阿里云安全团队的道哥说，“剩下那个是阿里云的，非集团安全部。阿里云的处理结果还在讨论中。请不要过度解读。”

就在以上阿里内部公开信公布不久，道哥发了朋友圈：

“叶敏是我心目中‘前’阿里巴巴全集团（含蚂蚁）在安全攻防技术上的第一人，我的左膀右臂，未来注定是要升p10的人。从某种意义上来说也是这个国家的财富。现在便宜你们这些安全公司了。无语凝噎。”

言语之中无不心痛，在阿里强大的价值观面前，这些都需要让步。

就在不久前的几个小时内，有人在叶敏的朋友圈评论中戏谑“你是那五分之一吗？”，叶敏则回应“是的呀”。叶敏是一个会开玩笑的人，随口说说外部的人并不会当真，直到看到了阿里内部信和道哥的朋友圈。

至此，月饼事件的第五个员工确认是叶敏无疑。

叶敏是谁？
“前”阿里云云盾的安全技术负责人。雷锋网(公众号：雷锋网)[宅客频道]主笔史中曾对叶敏做过采访报道——

从2010年加入阿里开始，他见证了云计算从踽踽独行到百万雄兵；他同样见证了云计算的城池之外，黑客们从散兵游勇到集结成军。

你可能只知道淘宝占据了中国电商的大半壁江山，但是你或许不知道，全国30%的网站都在阿里云上。而叶敏的阿里云盾团队却只有8个人，他的能力和责任可想而知。

“当一个访问者出现，我们能立刻拿出一个IP画像，包含了他的所有属性，他历史上有没有过恶意行为，他的惯用攻击手法是什么。通过分析他的访问行为，再结合当前业务，我们能判断出攻击者的意图，他是想拉数据还是想控制服务器。并且及时阻止这种情况发生。”

这样的场景，在两个月前叶敏曾和雷锋网说过，不需要太久的时间，我们就能实现。然而，结果令人扼腕。

如果你有兴趣进一步了解叶敏，可以看看这篇文章《人物志 | 阿里云叶敏：制造网络安全的“机械战警”》。

来不及在阿里云实现的事情，叶敏下一步会去哪里呢？塞翁失马，或许有更大的平台在等着他，就像道哥说的，这么一个技术大牛，国家人才，真是便宜了某个安全公司了。

“谢谢大家关心，但是消息太多堵塞了，我会一一回复的。（关于找工作的事情，承蒙赏识，我现在还没想这些事）”。9月15日凌晨，叶敏在朋友圈如是说道。

阿里内部信公开，月饼事件“神秘第五人”被开除，他是谁？

而今天早上，叶敏又更新了朋友圈：

6年多，两耳不闻窗外事，一心做技术，从未在公众场合说过公司坏话，转身成了阿里黑

阿里内部信公开，月饼事件“神秘第五人”被开除，他是谁？

在文章回复中，叶敏说：发完竟然想流泪。让人看了有些心疼。

附蒋芳写给员工的内部信全文
9月12日，安全部4位同学和阿里云安全团队的1位同学，用编写脚本代码方式，在公开秒杀月饼的内部活动“秒到”了133盒月饼。

首席风险官刘振飞及阿里云总裁胡晓明在与上述同学经过非常坦诚的（地）沟通之后，公司对上述同学做出了劝退的决定。这不是一个容易做出的决定，也不是一个可以得到各方面理解的决定，这个决定也让公司再次成为舆论的风暴眼。

来自公司内网，微博微信，知乎，各种对此事的关注和讨论我们一直在看。今天，集团用4个小时对此事进行了复盘和讨论，逍遥子、戴珊、行癫、振飞，郭靖，王 坚，王帅，马老师及我都参与其中。最终我们选择支持振飞和晓明的决定，我们读到和听到各界的反馈，也检讨和反思我们在做这个决定之前和之后哪些工作没有做好，引发许多同事担忧我们对坚守价值观过于偏执以及会给鼓励创新的容错文化造成伤害。实话实说，我们也争论，纠结，感到难受。

很多人问为什么我们处理的（得）这么重？因为阿里是一家把权力真正下放到每个普通小二手里的公司，下放权力的基础就是组织和员工之间的本能的信任。只有一个建立在 信任基础上的团队才能走得长远，打得起硬仗。因为只有授权才能服务好客户，更快地根据客户需求做出迅速有效的决定。但我们必须反复提醒自己，要善待手中的 权力，也像爱惜自己的眼睛一样爱惜别人对自己的信任，爱惜自己的才华，更何况是以攻防网络灰黑产和反作弊为己任的安全部门同事。

未来我们还将继续充分信任和授权我们的同事。在这个过程里，我们可能还会作出一些让公司陷入风暴眼的决定，因为我们不是做给别人看的，而是敬重大家彼此间的信任，一致的理念，遵循做事做人的初衷和本心。

公司和人一样，不完美。我们很幸运，用本心做对了一件件小事，才有了今天的影响力；未来我们若不能保持一颗敬畏心，而是以自己的方便和获益为首要考虑，那么也将是一件件看似不起眼的小事，解构和击败所有人的奋斗。

有时候往往无心之举，却带来的大家都不愿但也要面对结果，这种结果最让人无奈。在月圆之夜送同伴离开，应该是这个中秋最大的遗憾。真心希望也相信这个事业人 生旅途上的挫折，能让这几位年轻人想的（得）更远走的（得）更踏实。每个阿里巴巴的同事，也更应该理解，因为征途远，责任重。唯有学会约束自己的欲望，尊重自己的能 力，敬畏手中的权力，我们才担得起亿万客户的信任和托付。

蒋芳

2016年9月14日

对于这个结果，不少人都觉得可惜。你怎么看呢？欢迎留言讨论。

雷锋网原创文章，未经授权禁止转载。详情见转载须知。

0人收藏 分享：
相关文章
月饼事件阿里巴巴

月饼，有毒 | 2016 影响因子

刷月饼事件是规则问题，与价值观没什么关系

作为安全团队的leader，如何看待阿里月饼事件？

阿里月饼“血案”，网友：你永远不知道下一个是不是 ...
文章点评：

我有话要说……
表情 同步到新浪微博 提交
最新评论

王踏马 09月27日 13:49
政治正确大于技术正确的一个典型例子
回复 (0)

特洛伊•罗布 09月18日 08:37
我觉得这个是有点问题。这个秒杀页面是针对公司内部的临时应用，开发者可能基于此考虑而没有做过多的安全优化。这个大概也征得了领导层的认可。而安全部的人员是想来秀一把自己的技术，但是这个秀不太和时宜，因为太low。打个比方，公司本打算排队领月饼，你却想显示小聪明而加队，领导怎么想呢，我原以为内部人员排队，不用安排保安了，结果你上来就坏了规矩，以后怎么带队伍。要知道，公司的价值就在于内部交易的成本远低于市场交易成本，道德素质真的是公司管理成本的一道屏障。说实话，这么low的秀跟技术无关。
回复 (0)

米开朗K罗 回复: 辛普森•劳伦 09月17日 10:16
重点是这位同学并没有付钱买走这些月饼，而是告知了相关人员月饼买多了。这是我第一句话的意思。作为技术人员来讲，看见这样的秒杀页面写个小脚本帮助自己买东西，再正常不过了。利用漏洞看动机，利用了，并自己实际获利了，比如这位同学实际拿钱买了月饼并卖给其他人，并告诉别人这有个漏洞大家赶紧来利用占便宜，这是问题。但是只是发现了问题，自己并没有心去利用它，反而告知漏洞问题的，这完全是另一回事。况且这是安全团队，写代码去尝试发现漏洞本身是日常吧，被一个前端脚本就弄走133盒月饼的秒杀程序，我觉得不能用内部程序来说事，阿里本来就是技术公司，写个秒杀程序还不让别人写脚本去强，这个太为难技术同学了。所以这是钓鱼执法？专门看公司内部谁是Geek?发现一个开除一个？
回复 (0)

布莱兹•多拉 09月17日 09:03
不怕，出来照样很多公司要你。
回复 (0)

骆悠东 09月16日 18:54
在公司的政治架构里，人力资源向来是绝对正确的，至于该部门是否理解本公司是做什么的则是另一回事了。
回复 (0)

辛普森•劳伦 回复: 米开朗K罗 09月16日 17:36
谁说没有获利呢？ 内部成本价抢购，并不是每人一盒，而你一个人抢了几十盒！！！这对其他人公平吗？ 一个内部的抢购页面，只是让内部人员操作的，没必要写的多么多么严谨，防这防那，被人钻了空子也能叫严重漏洞？“
回复 (0)

持枪流浪汉 09月16日 15:37
希望大神把代码发出来我们学习一下，不管发生了什么事，学习技术总没有错的
回复 (0)

梵 09月16日 08:21
现在谁还在讨论支付宝收费？
回复 (0)

米开朗K罗 09月16日 00:06
这个事件读起来感觉好扯淡，利用漏洞但是没有获利反而上报漏洞的，应该是给奖励吧……我对这个文章的感觉是阿里内部抢月饼程序是一个有严重漏洞的程序，被一小段JS搞定了，非但没觉得自己程序丢脸反而把找到问题的安全团队给干了，这是什么逻辑？如果这事儿发生在对外公开的秒杀页，是高危以上漏洞吧，报告奖励应该有10万吧
回复 (0)

小鼹鼠 09月15日 21:42
大学生考试作弊，直接退学处理，这个情节和作弊性质是类似的，不要只看着月饼，就像以前有个人抢劫了几毛钱，仍旧要坐牢三年
回复 (0)

左手木鱼右手拂尘 09月15日 20:34
我就想知道阿里巴巴在对待有竟争关系的中小企业有没有使用资本压制和政治压制！
回复 (0)

水之子 09月15日 19:39
如果开除一个员工后会使整个公司局势扭转，由盛走衰，不知阿里公司还是否仍然坚持原有初衷呢
回复 (1)

苍狼€啸月 09月15日 15:41
转：大家都忘了当年阿里HR伪造离职员工谈话记录的事情了？这跟脚本抢月饼比起来那个更恶劣？最后处理结果是什么？开了三个码农，因为内部系统权限有问题，让离职人员看到了自己的评价。当时阿里HR的是怎么处理的？知乎上还有一堆尸体答案呢，这得动用了多大的力量来洗地？ 所以在这个答案下面讨论脚本抢月饼是不是违背价值观的码农们，别天真了，人家都明着跟你耍流氓了。
回复 (3)

红野仙踪(好友) 09月15日 15:36
道貌岸然的管理层，搞得好像自己从没做过一点点不道德的事。惩罚可以严，辞退就过了。自己损失人才不说，还能加强对手实力。这些家伙才是阿里应该清除出去的
回复 (4)

jasonn 09月15日 15:06
杀鸡儆猴，教育一批神，吓走一批神
回复 (2)

专题
阿里“月饼门”事件：124份月饼引发的血案
本专题其他文章

突发 | 阿里巴巴员工抢月饼被开除？124份月饼引发的血案！
程序员爱写脚本是种病
刷月饼事件是规则问题，与价值观没什么关系
阿里云叶敏：制造网络安全的“机械战警”
作为安全团队的leader，如何看待阿里月饼事件？
阿里月饼“血案”，网友：你永远不知道下一个是不是五仁馅儿的
more

小芹菜
编辑

雷锋网编辑，AI慕课学院负责人。关注智能驾驶与金融科技，欢迎来撩：www.mooc.ai。
发私信
当月热门文章
中国科学院国家天文台崔辰州：天文大数据能带来什么？
最新文章
美女邀约演唱会，技术男只想破解控场荧光棒？
木马很可能在陪你玩游戏：一旦电脑卡顿要立即查杀
利用“驱动人生”升级程序的恶意程序预警
1000美元从眼皮底下“溜走”，ESET发现新型恶意应用程序可自动窃取PayPal账户资金
以剁手赚钱为生，“神秘刷手”背后的网赚帝国
PS Classic上市一周便惨遭破解，黑客：过程太容易，索尼有意为之？
热门搜索
虚拟现实魅族手机漏洞电动车硬创公开课sony以太坊TechCrunch Disrupt电视盒子OFO
热门关键字
热门标签人工智能 机器人机器学习深度学习金融科技未来医疗智能驾驶自动驾驶计算机视觉激光雷达图像识别智能音箱区块链智能投顾医学影像物联网IoTCV微信小程序平台微信小程序在哪CES 2017CES2016年最值得购买的智能硬件2016 互联网小程序微信朋友圈抢票软件智能手机智能家居智能手环智能机器人智能电视360智能硬件智能摄像机智能硬件产品智能硬件发展智能硬件创业黑客白帽子大数据云计算新能源汽车无人驾驶无人机大疆小米无人机特斯拉VR游戏VR电影VR视频VR眼镜VR购物AR直播扫地机器人医疗机器人工业机器人类人机器人聊天机器人微信机器人微信小程序移动支付支付宝P2P区块链比特币风控高盛人脸识别指纹识别黑科技谷歌地图谷歌IBM微软乐视百度三星s8腾讯三星Note8 小米MIX小米Note华为小米阿里巴巴苹果MacBook ProiPhoneFacebookGAIRIROS双创周云栖大会优葩智能硬件公司智能硬件QQ红包支付宝红包敬业福ubermagic leapearth vr陈小平智能口罩黑客老王vr h片red pitaya人工智能框架阿里研究院一直播怎么直播索尼1abt为什么要在嵌入式系统中广泛使用openwrt强人工智能努比亚更多
联系我们关于我们加入我们意见反馈投稿
Copyright © 2011-2018 www.leiphone.com 雷锋网-移动互联网智能终端第一媒体 All Rights Reserved 粤ICP备11095991号-1 ICP证粤B2-20150332 0daybank