同程被指竊取創(chuàng)業(yè)公司平臺(tái)用戶資料挖墻腳
編輯注:在巨頭們的夾縫中生存的創(chuàng)業(yè)公司,總是幾多不易,旅游行業(yè)更是如此。2月20日,出境自由行平臺(tái)最會(huì)游創(chuàng)始人張睿發(fā)表文章稱,最會(huì)游平臺(tái)游俠(服務(wù)出境自由行用戶的境外旅游目的地當(dāng)?shù)厝耍┬畔⒃馔叹W(wǎng)竊取,同程網(wǎng)當(dāng)?shù)厝隧?xiàng)目負(fù)責(zé)人向最會(huì)游用戶發(fā)送“挖墻腳”的郵件,流出的聊天記錄截圖顯示,同程相關(guān)人員稱:“我們的主要競(jìng)爭(zhēng)目標(biāo)是攜程。”。張睿在文章中透露,來自同程內(nèi)部的信息表明同程用這種方法已經(jīng)拿到了數(shù)十萬個(gè)數(shù)據(jù),并且攜程是他們首要的目標(biāo)。
以下是張睿的全文:
嚴(yán)正聲明:請(qǐng)同程旅游停止對(duì)創(chuàng)業(yè)公司的偷盜侵害行為!
我們最會(huì)游Triploc僅僅是一個(gè)成立不足一年的創(chuàng)業(yè)公司,本來就如履薄冰,創(chuàng)業(yè)維艱,卻在2月19號(hào)下午遭受了公司成立以來最嚴(yán)重的危機(jī)事件,更讓我們沒有想到的是,事情的始作俑者竟然是成立了十幾年擁有百億估值的旅游前輩同程網(wǎng)。
作為最會(huì)游Triploc的創(chuàng)始人,我將用我的人格擔(dān)保接下來所闡述的一切都是真實(shí)的,我們已經(jīng)聘請(qǐng)了相關(guān)律師,在必要的時(shí)候即使在強(qiáng)大的前輩巨頭面前,我們?nèi)跣〉某鮿?chuàng)公司也一定會(huì)拿起法律武器來捍衛(wèi)我們的辛勤汗水和尊嚴(yán)。
事情原委:
??突發(fā)危機(jī)事件 ?
2月19號(hào)下午,我正在沖繩出差,接到最會(huì)游APP注冊(cè)游俠的微信詢問,說自己收到了同程網(wǎng)發(fā)來的邀約郵件。
我當(dāng)時(shí)第一反應(yīng)以為是偶然事件,就告訴他們也可以選擇加入別人的平臺(tái),這一點(diǎn)我的態(tài)度一直都是開放的。
可萬萬沒想到的是,接下來我們的日本游俠陸續(xù)向我們反應(yīng),收到了同程發(fā)送的郵件,直到我們自己公司的內(nèi)部測(cè)試郵箱也收到了。大量游俠在微信群質(zhì)問我們,為什么他們只是在最會(huì)游注冊(cè)了游俠,卻收到了同程的郵件,是信息遭到了泄漏?請(qǐng)務(wù)必給個(gè)說法。這個(gè)時(shí)候我才意識(shí)到事情真正的嚴(yán)重性。
于是馬上聯(lián)系團(tuán)隊(duì)的成員們立刻去排查這到底是偶然事件還是技術(shù)事件,是我們內(nèi)部的問題還是我們被外面的人給黑了。
? 徹查事件原委 ?
經(jīng)過技術(shù)團(tuán)隊(duì)的排查,結(jié)合最會(huì)游APP全球注冊(cè)游俠的問詢,我們搞清楚了以下幾點(diǎn)。
A:目前就我們了解到的情況,僅僅只是在日本的華人游俠收到了騷擾郵件,通過游俠反饋的截圖,可以看出收到的是來自同一個(gè)人的郵件邀請(qǐng),這個(gè)人是同程旅游“當(dāng)?shù)厝恕表?xiàng)目部的負(fù)責(zé)人,錢魏,郵箱后綴@ly.com(同程商業(yè)郵箱后綴)。#p#分頁標(biāo)題#e#
B:大部分收到郵件的游俠給我們一一反饋了郵件截圖,遍布了東京、大阪、沖繩、京都、福岡、北海道等地的130多個(gè)游俠,而且所有的郵箱都是該游俠注冊(cè)最會(huì)游時(shí)使用的登陸賬號(hào)(最會(huì)游的游俠注冊(cè)是要求郵箱的)。
C:在日本信息泄漏是非常嚴(yán)重的事情,游俠對(duì)此類事情非常的反感,在某種程度上來說這是屬于違法的,大部分游俠建議我們拿起法律武器,必要時(shí)可以訴諸法庭。
D:我們只能從邏輯上懷疑,是同程使用了非常規(guī)手段獲取到我們游俠的注冊(cè)賬號(hào)信息,因?yàn)榻^大部分游俠并非旅游從業(yè)者,并且只在最會(huì)游上注冊(cè),不難看出,這件事情很明顯是同程直接沖著最會(huì)游來的。
根據(jù)以上羅列的4點(diǎn)清晰的事實(shí),我們開始排查一切可能導(dǎo)致信息泄漏的原因。首先要嚴(yán)正聲明我們有據(jù)可查的情況。
? 技術(shù)和過程 ?
技術(shù)事實(shí):
-最會(huì)游app和網(wǎng)站上從未公開顯示過游俠的郵箱
-最會(huì)游后臺(tái)游俠網(wǎng)站的通訊是標(biāo)準(zhǔn)的ssl加密
-最會(huì)游api的敏感信息部分都是采用標(biāo)準(zhǔn)的ssl加密
-最會(huì)游數(shù)據(jù)庫是受密碼保護(hù)的
-最會(huì)游管理后臺(tái)是在公司內(nèi)網(wǎng),外網(wǎng)不能訪問
過程事實(shí):
-最會(huì)游從未將游俠的郵箱或微信等信息泄漏給第三方
-最會(huì)游游俠注冊(cè)是郵箱必填,其他不一定
-群發(fā)郵件發(fā)起人的郵箱后綴名為ly.com
-新注冊(cè)一個(gè)月內(nèi)的游俠,沒有收到郵件,但卻在app內(nèi)收到私信索要個(gè)人郵箱
-最會(huì)游公司很小,來往人員只有少量實(shí)習(xí)和面試者,內(nèi)網(wǎng)數(shù)據(jù)決非一般員工能獲取到。
基于以上事實(shí),我們最終得出的結(jié)論就是:這不是一次偶然事件,而是一次有預(yù)謀的技術(shù)事件,最有可能的結(jié)果就是,我們被一個(gè)強(qiáng)大的對(duì)手通過技術(shù)手段給黑了。
被技術(shù)攻擊的可能性
通過技術(shù)手段破解數(shù)據(jù)庫
—可能。
數(shù)據(jù)庫因?yàn)橐鐕鴥?nèi)外數(shù)據(jù)中心同步,端口是暴露在公網(wǎng)上的。已有密碼安全但還有可能存在漏洞。
截取api數(shù)據(jù)
—可能。
游俠信息的公開部分是可以直接獲得的(不包括私密信息)。如果利用注入代碼方式,防護(hù)不到位可能會(huì)看到。
服務(wù)器
—輕微可能。
服務(wù)器是在阿里云和aws云主機(jī)上的。對(duì)外開放http和https端口。如果利用漏洞登錄至主機(jī)上可能拿到數(shù)據(jù)。
作為創(chuàng)始人,我不是技術(shù)背景出身,我們的技術(shù)團(tuán)隊(duì)數(shù)量和經(jīng)驗(yàn)有限,僅有4個(gè)工程師,而同程擁有龐大的工程師團(tuán)隊(duì),論實(shí)力我們完全不在一個(gè)等級(jí)。不過同程即便做的再高明,業(yè)內(nèi)的專業(yè)人士都能看懂這里面的貓膩了。不管同程用了什么樣的手段,我想說的是,同程的行為是違規(guī)違法違反道德的。#p#分頁標(biāo)題#e#
? 尋求和對(duì)方的溝通 ?
事情已經(jīng)越來越明顯,我們不想含沙射影的指責(zé)對(duì)方。在第一時(shí)間我就找到了同程相關(guān)的負(fù)責(zé)人,甚至直接找到了這個(gè)群發(fā)郵件的同程郵箱擁有者-錢魏。然而在溝通的過程中,可以看出對(duì)方并沒有解釋是如何獲取的我們平臺(tái)注冊(cè)游俠的大量個(gè)人信息,只是推脫說是別人給的,并且告訴我們不是針對(duì)我們,攜程才是其真正的對(duì)手,只是抓取了攜程的信息。我想說的是:哥們,能不能不要這么侮辱人,你明明把我上了,結(jié)果說其實(shí)想上的是別人而不是針對(duì)我。難道我們公司前期內(nèi)部測(cè)試的員工郵箱也是從攜程上抓取的?
我想針對(duì)這個(gè)說法作出的回應(yīng):
1. 攜程的當(dāng)?shù)厝祟l道是對(duì)外開放的,確實(shí)很多當(dāng)?shù)厝硕剂粝伦约旱穆?lián)系方式,包括QQ、微信和郵箱。但最會(huì)游的游俠全部是需要通過最會(huì)游App和游客開始溝通,游俠的所有聯(lián)系方式并沒有在外。
2. 最會(huì)游的游俠經(jīng)過我們的排查,我們95%的游俠并沒有再攜程的當(dāng)?shù)厝祟l道里,攜程當(dāng)?shù)厝祟l道大部分是專門做導(dǎo)游的,而最會(huì)游的游俠更多是各行各業(yè)的非旅游從業(yè)者。
另外,聊天記錄已經(jīng)足以證明同程的第一步就是招募日本的當(dāng)?shù)厝A人,結(jié)果最會(huì)游的日本注冊(cè)游俠就全部收到郵件,如果同程要招募全世界各地的當(dāng)?shù)厝A人,是不是要再搞最會(huì)游一次呢?
至今,我本希望私下里讓同程給我一個(gè)合理的解釋,我也需要給我們?nèi)毡居蝹b一個(gè)合理的解釋,而同程的相關(guān)人員依然不理不睬不作正面回答,我只能尋求同程內(nèi)部員工幫我了解情況。而最終給我消息的是,同程竟然用這種偷雞摸狗的方法已經(jīng)拿到了數(shù)十萬個(gè)數(shù)據(jù),并且攜程是他們首要的目標(biāo)。
如果真是這樣,你們巨頭之間的禮尚往來我不管,但為什么牽扯到我們這樣一個(gè)創(chuàng)業(yè)公司,而且數(shù)十萬數(shù)據(jù)到底是什么樣的數(shù)據(jù),如果是爬蟲去盜取頁面顯示的數(shù)據(jù)隨便你同程怎么搞。但如果是偷盜我在后臺(tái)的注冊(cè)用戶的賬號(hào)數(shù)據(jù),這實(shí)在是卑鄙可恥不能容忍的行為。這就好比,你可以拍攝我們家外面的墻面和大門,但你不能偷摸進(jìn)我家內(nèi)部來進(jìn)行拍攝吧!
我向來不排斥別家來我的App里挖人,我從沒有要求技術(shù)團(tuán)隊(duì)屏蔽加微信、QQ、郵箱這樣的詞匯,這種自信源于我們知道我們下一步路在何方。以前來挖人的,最起碼也下載App裝扮成用戶去勾搭,你同程竟然連這一步都懶得做,這不僅僅是在侮辱最會(huì)游,你也在侮辱那些在全世界各地的當(dāng)?shù)厝A人。你以為你找些工程師會(huì)盜取信息就可以了?不僅無恥連一點(diǎn)情懷都沒有。#p#分頁標(biāo)題#e#
同程這樣的巨頭看重我們初創(chuàng)公司的業(yè)務(wù)方向,其實(shí)我是很開心的,至少證明我們的前進(jìn)方向是對(duì)的,包括攜程早已上線的當(dāng)?shù)厝祟l道。但是作為巨頭,你以為你發(fā)個(gè)郵箱就能一呼百應(yīng),你不知道的是你發(fā)出來的郵件被我們的游俠一一反饋給我們,還罵你們這樣無良的舉止;你不知道你想挖我們的墻角,結(jié)果我們的游俠全部表態(tài)不會(huì)加入你們;你不知道最會(huì)游到底是做什么模式,你以為放幾個(gè)當(dāng)?shù)厝碎_個(gè)頻道就成立了,這樣的做法說明你根本沒抓到我們的產(chǎn)品邏輯的精髓。
這種新的游戲,我歡迎巨頭一起玩,最會(huì)游過去幾個(gè)月沒錢沒人,為什么全世界有上千個(gè)游俠加入我們?為什么我們才上線4個(gè)月連支付交易都還沒做完,所有游俠還這么支持我們?一切的一切,你并不懂,很多事不是錢可以辦到的,因?yàn)槟愀静恢廊澜绺鞯厝A人他們需要什么。
同程原本是我非常尊敬的企業(yè),在旅游行業(yè),我認(rèn)為同程是最接近春秋的那種拼搏和誠信的存在??墒前l(fā)生這種事情,我發(fā)現(xiàn)我錯(cuò)了,當(dāng)你變得富有,你的那些價(jià)值觀瞬間開始瓦解。卑鄙無恥不會(huì)是強(qiáng)者的通行證,而忍辱負(fù)重也不會(huì)是弱者的座右銘。本來2月18號(hào)是最會(huì)游大喜的日子,在資本寒冬中我們獲得飛馬資本、春秋航空、青驄資本的新一輪數(shù)千萬注資,僅僅過了一天我們的感恩和那些美好,就被同程的行為搞得煙消云散。
這是我代表公司寫的第一篇嚴(yán)肅的聲明,也是公司成立以來遇見最為可恥的侵害危機(jī),我鄭重的警告同程網(wǎng)過去對(duì)于最會(huì)游所做的行為,必須給出合理的解釋并且道歉。希望同程網(wǎng)作為曾經(jīng)的行業(yè)典范,可以端正態(tài)度。
最后,經(jīng)過這次事件,我們不僅會(huì)審查自己的不足,改善自身的問題,也希望優(yōu)秀的技術(shù)專家可以幫助最會(huì)游審查此事,歡迎加入我們的團(tuán)隊(duì),一起為旅游互聯(lián)網(wǎng)的安全做出一份貢獻(xiàn)。
創(chuàng)業(yè)維艱,旅途不易,讓榜樣的力量可以在旅游行業(yè)再一次崛起。
最會(huì)游Triploc 創(chuàng)始人 Ray
2016年2月20日? 沖繩