從淘寶的漏洞看安全的危機公關
昨天有陣子很熱鬧,有人在烏云上報告了一個淘寶的登錄任意賬戶的漏洞,因為淘寶可以直接免登錄到支付寶,所以利用這個賬戶可以直接進入支付寶賬戶。
我當時看到這個漏洞就感覺問題很嚴重,就跟阿里的朋友說,這種漏洞,必須在一個小時內修補。因為算上發現,到響應,找到對應的人,提出解決方案,快速直接在線上修改(不可能有嚴格的測試時間),總是要花一些時間的。
同時我開始找圈內的朋友打聽漏洞細節,因為在廠商修復前,烏云是不會披露漏洞細節的。就在我們剛拿到細節分析時,就發現阿里已經修復了,響應速度比我想象的還要快一些。
漏洞的細節可以查看這兩天的知乎日報,上面有一篇對這個漏洞的詳細分析過程。
昨天也有很多朋友希望我點評一下這個漏洞,我猶豫了很久。猶豫的原因是不希望對阿里造成一些負面影響,因為這樣的負面新聞很容易被別有用心的人或者公司拿去當槍始,比如我已經看到昨天有新聞標題是關于「余額寶不安全」之類的屁話了。
就漏洞本身來說,是沒有辦法直接從支付寶里提錢的,因為還有支付密碼這一道關卡。而且由于阿里的快速響應,我個人的判斷是這個漏洞還沒有來得及形成危害,也就是說還沒有用戶因此被盜,或者是導致大量信息泄露,就被及時封堵了。
但這些話是沒法證明的,而且總會有些別有用心的人以「莫須有」的方式把帽子扣到支付寶頭上去。
今天看到了淘寶的官方回應,給我的感覺是淘寶在面對安全問題的心態上終于成熟了,這是在一次次血淚教訓中成長起來的。淘寶是這么回應的:
「今天下午,我們接到反饋稱有用戶可隨意查詢淘寶賬戶,經過我們的排查,確認這是近期一個新業務引起的短時漏洞,我們在收到反饋后第一時間快速完成了修復。目前已經確認沒有用戶因為此漏洞引發資金風險及損失。
非常感謝今天反饋該問題的人士,我們將對您予以 5 萬元現金獎勵!同時我們今年仍將拿出 500 萬元重獎幫助我們發現漏洞的白帽子,并歡迎大家來 security.alibaba.com 報告漏洞。」
這里面其實很有講究:
1. 阿里沒有否認這個漏洞。
對比 05 年時愚蠢的否認支付寶控件漏洞,這次成熟多了。紙是捂不住火的,掩耳盜鈴的做法只會損失正面形象。
2. 將漏洞的危害與后果直接了當的說出來,安撫用戶的恐慌情緒。
因為漏洞并不等于造成危害,這中間有一個過程。不管阿里有沒有說真話,至少客戶的恐慌情緒得到了安撫。
3. 五萬元現金獎勵不多不少。
之前行業里最大的單筆獎金額度是騰訊發給黑哥的 20 萬。但那是因為黑哥連續給騰訊報了一年的漏洞。單筆 5 萬元的現金獎勵對于大多數是屌絲的白帽子來說已經相當有吸引力,足夠起到一個榜樣的作用,也給未來提升獎勵額度留下了空間。同時從側面來看,阿里也是被這 個漏洞嚇到了,所以處理的非常果斷。
4. 提出 500 萬元的獎勵計劃。
這是迄今為止行業的最高獎勵額度,之前騰訊和 360 都只給出了一兩百萬。
阿里擺出的是一個姿態:我們對白帽子們是持有開放的心態,我們不怕出安全問題,我們用于承擔責任,我們鼓勵白帽子來發現我們的問題,接受監督。
我想到了在陳冠希的艷照門時,當時有謠言稱艷照門女主角里還有蔡依林,于是網民們無不翹首以盼。而蔡依林的應對措施是果斷懸賞一個億,迅速打消了種種猜想。阿里在此時懸賞 500 萬,有異曲同工之妙,就是為了給客戶一種信心:我們是安全的。
5. 請白帽子直接將問題提交給阿里。
這次白帽子直接提交到烏云,讓阿里非常被動。如果是提交給阿里,可能這問題就內部消化掉了,也不會讓大家出一身的冷汗。所以這次以后,如果還有白帽子想拿這 500 萬,可能就得單獨找阿里了。
阿里這連消帶打的一套組合拳,成功的將事件的影響化到了最小,非常值得其他公司借鑒。
同時,常在河邊走,哪能不濕鞋。安全是一個持續的過程,不要想著永遠不出安全問題,而應該看出了安全問題后,如何快速響應,如何把風險控制在最小。阿里的安全團隊磨練了這么多年,已經是相當不容易了。
(今日題圖:separation of state,作者:Richard Davis)
==== 道哥的黑板報 ====
走在創業道路上的文藝白帽子。
微博、知乎:aullik5
http://taosay.net
微信公號:道哥的黑板報,微信 ID:taosay
<span id="shareA4" class="fl"> </span>
</div>