TOUBU頭部(ID:toubu2019)
“daß die Geschichte die Eigenheit hat,repetiert zu werden,so lange,bis die Lektion begriffen wird.”
德國哲學家黑格爾的這句格言有多個漢譯版本,其中一個最犀利也最廣為人知:
人類從歷史中所得到的教訓就是——人類從來不記取歷史教訓。
可以說,在每一個由“人禍”導致的危機發生之前,警報可能已經拉響了N次。如果不長記性,這危機也不會是最後一次。
2月23日18點56分,微盟(2013.HK)研發中心的運維人員賀某通過個人VPN登入公司內網跳板機,對數據系統進行了刪除操作。
隨後,微盟商戶便發現店鋪後臺無法登陸,甚至連微盟官網也無法打開。當天晚上商戶們呼天喊地,受新冠疫情影響,線下門店生意停滯,本來靠線上店鋪還能帶點生意,這次宕機無疑將微盟的商戶們推向更深的困境。
一般情況下,互聯網公司發生宕機事件,恢復時間多是“分鐘級”,至多為“小時級”。微盟顯得很狼狽,一週也沒完全搞定系統問題。
這隻“黑天鵝”使微盟市值損失十多億,教訓不可謂不深刻。數百萬商戶憤怒又無助,微盟倉惶應對,焦頭爛額,上市公司的泡沫被戳破了。
有果必有因,這隻“黑天鵝”能夠飛出來,有其存在的環境和條件,我們從微盟的過去能找到一些端倪。而這次危機造成的其中一個“果”,便是微盟商戶的流失。
此次危機前,已發數十次安全警報
過去這幾年,微盟網站系統被曝光的漏洞多達數十次,也曾發生過宕機事件,這些並沒有改變微盟的安全觀。
2014年2月16日,一位名為“her0ma”的白帽黑客在烏雲平臺(現已關閉)曝光了微盟某頁面SQL注入漏洞,該漏洞危害等級為“高”,用戶的各種信息有較高的洩露風險。
那年2月19日,微盟成為騰訊微信官方認可的五家微信電商服務商之一。然而在3月31日,微信雲對微盟做出下架處理。微盟下架的第二天(4月1日),微信雲官方發佈公告,稱:
“對部分存在嚴重安全隱患和違反相關法規的服務商進行了下架處理......部分服務商缺乏安全意識和安全防護能力,出現過使用戶數據安全受到嚴重威脅的現實情況”。
在被問到下架微信雲的原因時,微盟引導輿論稱“後臺系統進行架構調整,不能完全遷移至騰訊雲”,對平臺漏洞一事避而不談。
據億邦動力網報道,微信雲此批下架的服務商中,包含首批接入的微盟。微盟的下架原因得以證實。
商場如戰場,最關心你、最懂你的人要數競爭對手了。面對微盟的態度,同樣作為微信營銷平臺的微微易再也看不下去,於4月10日在微博發了一篇《五問微盟》的討伐檄文,稱“微盟不作死就不會死”,“這閒事微微易管定了”。
微微易的問題主要是敦促微盟正面回應烏雲曝光的微盟平臺漏洞,該高危漏洞可導致管理員賬戶、密碼以及商戶姓名、住址、電話、交易記錄的洩露,讓微盟消除此事給第三方開發平臺行業造成的不誠信影響。
當年的4月11日,微盟舉辦全國首屆代理商大會,公司在會上闢謠微盟被微信雲拉黑,時任微盟技術副總裁的黃駿偉才終於承認微盟存在安全漏洞,稱在發現漏洞的第二天完成修復並啟動了密碼重置機制。
令人匪夷所思的是,不到一個月,微盟又被曝光出現高危漏洞。5月3日,白帽黑客“U神”(現為補天平臺白帽黑客)向烏雲平臺提交了微盟漏洞信息,微盟主站SQL注入可致大量信息洩露。第二天,微盟進行了漏洞確認。
該漏洞將商戶的銀行賬戶、付款信息等都暴露出來。
微盟的安全漏洞不止於此,“TOUBU頭部”發現,在企業級互聯網安全測試平臺漏洞盒子上面,微盟在兩年多的時間裡,被白帽黑客提交的漏洞高達18個。
每一次風險警報都是一次安全提醒,按理說微盟查漏補缺後該百毒不侵,為什麼還會飛出“黑天鵝”?這就涉及微盟對技術所抱持的理念。
雲供應商五大考量維度,微盟把安全排第四位
隨著微盟業務場景的多元化及SaaS軟件的開發,雲計算為微盟提供了基礎資源支持,使其在初期依靠有限的資源投入,在市場競爭中活了下來。
微盟經過了市場廝殺,深諳資源來之不易,投射企業經營上,就形成了務實甚至有些短視的決策風格。
在軟件業務遷移到騰訊雲之前,微盟和騰訊雲已經在安全、CDN(內容分發網絡)、雲主機等領域有所合作。後來,微盟採用了騰訊雲的“混合雲”和天御系統等方案。混合雲是一種雲計算模型,它融合了公有云和私有云的優勢,具有高可擴展性,也擁有公有云一樣的成本效益。
微盟CTO黃駿偉在接受中國專業IT社區CSDN專訪時,分享了微盟對於雲供應商的考量維度,他按重要性對各要素排列後依次為:1.穩定,2.成本,3.便捷,4.安全,5.服務。
安全僅被排在第四位,在成本和便捷之後。
企業有什麼樣的經營理念,就會做出什麼樣的經營決策。這次危機看似“黑天鵝”,不如說是一個必然,偶然的是誰來點燃導火索。
系統穩定壓倒一切,控制成本是互聯網公司長期發展的基礎,這兩點不難理解。把便捷性放到安全性前面,要麼源於對系統和運維人員出錯率的高度自信,要麼是出於某種僥倖心理——哪有那麼巧會出事。
關於便捷這一維度,黃駿偉的原話是:
我們看重日常使用操作和維護的便利性,雲操作不僅是運維人員要操作,還有我們的開發人員要對其數據抓取、統計、分析。這必然要求有良好的人機界面和豐富的SDK、文檔,讓微盟的小夥伴在很短的時間內快速上手,使用和維護整個雲網絡。
黃駿偉也清楚混合雲模式下公司面臨的挑戰,他對媒體說:“混合雲將帶來全新的硬件更新、網絡帶寬消耗、互聯質量提高、管理維護思路等挑戰。當然我也相信,微盟已經感受到了變化的氣息,並且做好了應對的準備。”
這次危機表明,微盟遠遠沒有做好應對變化的準備,也沒有真正意識到管理維護思路面臨的挑戰。
商戶流失難以避免
賀某在“刪庫”之前,不知是否經過激烈的思想鬥爭,是否想過此舉帶來的後果。他這隻蝴蝶扇下翅膀引起了一場風暴,而事件最終導致什麼結果,他本人和微盟都難以控制。
儘管發佈了數據安全保障和賠償計劃,微盟商戶的流失仍難以避免,甚至很難挽回,“TOUBU頭部”認為主要源於以下幾點:
1.微盟本身存在較高的商戶流失率。
根據微盟發佈的財務報告,微盟最近幾年SaaS產品的商戶流失率都不低:2017年的流失率為27%;2018年的數據也約為27%;2019年1月,公司在香港聯合交易所上市,在上市公司光環的背書下,上半年的流失率從2018年同期的13%下降至約9%。
請注意,微盟對商戶流失率的計算方式為:
流失率 = 報告期內未留存付費商戶數量/過往年末的付費商戶數量
即上半年的流失率是用上半年的流失數據除以上一年末的付費基數,分子小而分母大,流失率自然就低。
實際上,到年末用全年流失數據參與計算時,這樣的流失率才算客觀。雖然微盟2019年全年數據還沒公佈,本來就較高的流失率會雪上加霜。
2.未能取信於人。
泡沫戳破之後,微盟在本次危機中的表現一言難盡。
2月23日傍晚19:00發生宕機事故,微盟拖到25日才向投資者發了一則公告,稱“2020年2月25日晚上24:00前公司的SaaS業務生產環境將修復完成,所有新用戶將可繼續使用本公司的SaaS 業務。本公司預計老用戶的數據修復將可在2020年2月28日晚上24:00前完成。”
如果沒有把握的話,時間節點就再放寬一點,微盟屢放鴿子,商戶在群裡氣炸了。
商戶們認為微盟在玩文字遊戲,的確,微盟在公關文案中還是比較注意用詞的,甚至很多媒體都掉坑裡。看下圖:
有多少人很自然地把“微盟數據已經全面找回”,理解成了“全部找回”?“全面”一詞用得很妙,給人“全部”的感覺。
在微盟提出的數據安全保障計劃措施中,微盟強調:加強災備體系建設,做到多雲異地冷備。結合微盟此次宕機表現,其百度搜索欄此前的介紹——多地互備——當時真具有這個能力嗎?
3.市場競爭依然激烈。
從企業內部來看,微盟雖然自稱“新經濟SaaS第一股”,但其應收仍以精準營銷為主,本質上仍是廣告代理公司。由於科技公司比廣告代理公司有更大的想象空間,微盟更想突出自己的科技色彩,微盟仍需苦練內功。
從外部看,行業競爭依然激烈,友商搶客戶不得不防,從有讚的“江湖救急”書就可見一斑。原本在商戶看來,上市公司實力雄厚,系統會安全穩定,經此事件,上市公司也不過如此,對商戶來說,會考慮把雞蛋放在不同的籃子裡。
另外,據網經社2月17日報道,其通過對微盟2019年全年真實用戶投訴案例大數據分析,公佈了“2019年微盟消費評級數據”,微盟獲“謹慎下單”評級。
這對微盟和微盟商戶都不是一個好消息。
而如果微盟能從這次危機中吸取教訓,也算是一個好消息了。
---- END ----
閱讀更多 頭部財經 的文章
