年后復(fù)工大戲，“刪庫跑路”這個詞又登上熱搜，更是直接給公司帶來數(shù)10億的市值蒸發(fā)損失！

說實(shí)話，開始以為是程序員之間調(diào)侃的段子?？蛇@次不是別人，正是微信生態(tài)的第三方服務(wù)商微盟，在這個"遠(yuǎn)程辦公”的節(jié)骨眼出事了。

靠給微信公眾賬號提供營銷推廣服務(wù)發(fā)家，做到上市的微盟怎么也沒想到，2020年給自己上的第一課是公司核心運(yùn)維人員的“刪庫跑路”。

一石激起千層浪，此時微盟給出了一份解釋。

2月25日，微盟集團(tuán)（SEHK：02013）發(fā)布公告稱，SaaS生產(chǎn)環(huán)境及數(shù)據(jù)遭到員工“人為破壞”導(dǎo)致公司當(dāng)前暫時無法向客戶提供SaaS產(chǎn)品。

微盟預(yù)計，老用戶數(shù)據(jù)將在2月28日晚上24點(diǎn)前方可完成數(shù)據(jù)修復(fù)。這意味著，微盟的老用戶將面臨超過5天的系統(tǒng)宕機(jī)。對疫情期間本來正在經(jīng)受門店歇業(yè)重創(chuàng)的商家來說，可以說是致命性的打擊。


一位商家表示：微盟系統(tǒng)崩潰后，已售出的幾百萬元提貨卡無法提貨，“客戶說我是騙子，微盟銷售說是騰訊出問題，騰訊修復(fù)又不可能這么慢。店鋪數(shù)據(jù)如果都沒了，我的損失該怎么辦？”

基于微盟的商家小程序也都隨之宕機(jī)，一度無法打開。從23日晚間起，線上生意基本停擺的商家不在少數(shù)，同時像林清玄、百草味、森馬等多個知名商家小程序也均已無法打開超過24小時。

據(jù)林清軒創(chuàng)始人孫來春的自述，337家門店、2000員工，每月基礎(chǔ)開支在3000-4000萬之間，初一到初七業(yè)績暴跌95%。正是通過數(shù)字化轉(zhuǎn)型，以小程序、電商等方式，林清軒2020年2月累計店均業(yè)績增長85.3%。


但現(xiàn)在打開微信公眾號“林清軒山茶煥膚修復(fù)專家”，其小程序商城則提示處于“系統(tǒng)更新維護(hù)中，預(yù)計回復(fù)時間2月25日12:00?！?br>
受刪庫影響的還有剛剛賣身百事的百草味。


棗業(yè)第一股好想你收購百草味時，這個休閑零食品牌還處于虧損之中。2013-2015年Q3，百草味獲客成本占到銷售成本61.4%、69.8%、68.8%，一度被人視為在給電商平臺和快遞公司打工。但這些年借助微信生態(tài)、智慧門店等升級，百草味也曾傳出18天賣出1000萬、轉(zhuǎn)化率翻一番等好消息。

我們無法得知百草味小程序的營收占比。只是粗略估算下來：按照微盟提出的最遲2月28日晚上24點(diǎn)修復(fù)承諾，加上已經(jīng)停擺的24小時，百草味因小程序宕機(jī)問題造成的損失額可能在數(shù)百萬級。

所有的微盟商家無一例外的都受到了此次系統(tǒng)宕機(jī)的影響。經(jīng)驗(yàn)證，就連微盟官方小程序“微盟微商城”如今也無法使用，打開頁面之后顯示著“request:ok 重新加載”。

這件刪庫事件到底是誰的鍋？那些電商平臺數(shù)據(jù)安全又該如何保障？

由上述可見，客戶的數(shù)據(jù)是存儲在服務(wù)提供方中心化存儲服務(wù)器上的，那么備份就顯得尤為重要。既然是做此類服務(wù)的專業(yè)服務(wù)商，那就應(yīng)該有考慮到數(shù)據(jù)本身的重要程度，分布式存儲的災(zāi)備方案也應(yīng)該被考慮周全，可為什么最終還是發(fā)生這種糟糕的情況呢？

因?yàn)槿说膯栴}。

犯罪嫌疑人是微盟研發(fā)中心運(yùn)維部核心運(yùn)維人員賀某，賀某于2月23日晚18點(diǎn)56分通過個人VPN登入公司內(nèi)網(wǎng)跳板機(jī)，因個人精神、生活等原因?qū)ξ⒚司€上生產(chǎn)環(huán)境進(jìn)行了惡意的破壞。

我們再換一個角度，對于專業(yè)度要求極高的數(shù)據(jù)存儲運(yùn)維團(tuán)隊來說，核心的運(yùn)維也不應(yīng)該一個人擁有登錄所有災(zāi)備服務(wù)器的權(quán)限，這是安全制度的漏洞。可是這種事情卻偏偏發(fā)生在我們生活當(dāng)中，直接導(dǎo)致300萬商戶受到直接影響。

失誤已造成，損失已存在，接下來就是解決方案。就目前微盟刪庫情況的出現(xiàn)，要回到微信商城系統(tǒng)搭建的起點(diǎn)進(jìn)行分析。

其實(shí)搭建微信商城平臺部署方式無非就是兩種，SaaS部署和獨(dú)立部署，像這次刪庫事件中的微盟就是采用的SaaS部署的方式。

可以說SaaS部署方式對于購買微信商城系統(tǒng)的企業(yè)有著天然的友好度，因?yàn)槟闶裁炊疾挥霉?，只要選擇產(chǎn)品套餐——簽約——付款——接收微信商城后臺網(wǎng)址、賬號、密碼，簡單的幾步，就可以在電腦旁開始微信商城的設(shè)置。但在購買軟件享受操作上便利的同時，也是有很大的制約風(fēng)險。

在某些情況下，可能會產(chǎn)生連帶安全問題，商城某個店鋪出現(xiàn)安全攻擊，其他店鋪乃至整個平臺均會受到影響。同時非技術(shù)人員可能會在未獲得證書認(rèn)可的情況下訪問SaaS應(yīng)用程序，而這操作可能會導(dǎo)致訪問和保護(hù)存儲在這些應(yīng)用程序中的任何數(shù)據(jù)難以管理。一些SaaS應(yīng)用程序也可能無法與組織使用的其他軟件或工具集成。

此外，SaaS軟件供應(yīng)方可能有權(quán)訪問某些數(shù)據(jù)，這可能違反了某些組織的合規(guī)性要求或隱私政策。這也是為什么這次微盟遭員工“刪庫跑路”，所有使用微盟SaaS產(chǎn)品的商家也跟著中招的原因。

至于獨(dú)立部署，應(yīng)該說是和SaaS的部署方式剛好相反，企業(yè)擁有獨(dú)立的平臺版權(quán)和自主性，不會受制于第三方平臺的規(guī)則和政策等，在系統(tǒng)功能擴(kuò)展上也會比較方便，因?yàn)槭亲约旱钠脚_，擁有自己的獨(dú)立服務(wù)器，所有功能隨著發(fā)展需要都可以在技術(shù)條件允許的情況下進(jìn)行個性化再開發(fā)和更新。

與SaaS部署相比，獨(dú)立部署方式需要企業(yè)自己保管服務(wù)器、域名及所有數(shù)據(jù)，因此可以很好地做好數(shù)據(jù)備份工作。對備份數(shù)據(jù)區(qū)域做好嚴(yán)格的訪問控制權(quán)限，防止惡意刪除備份數(shù)據(jù)，本次刪庫事件很大可能是因?yàn)閱T工直接將主備一起刪除了。

另外，針對核心數(shù)據(jù)服務(wù)器我們也要做好事前權(quán)限預(yù)分配，通過細(xì)粒度的權(quán)限控制，多重身份認(rèn)證實(shí)現(xiàn)事中訪問控制，避免權(quán)限分配不合理導(dǎo)致誤操作、越權(quán)操作帶來的運(yùn)維安全事故。有條件的還可以部署數(shù)據(jù)庫安全網(wǎng)關(guān)，通過數(shù)據(jù)庫安全網(wǎng)關(guān)阻斷對數(shù)據(jù)庫發(fā)起的惡意刪庫、誤刪庫、脫庫等高危操作。

最后，對于所有的商業(yè)交易來說，穩(wěn)定性永遠(yuǎn)壓倒一切。