您的位置:银行 / 保险 / 汽车 / 房产 P2P> 拼多多一夜被撸数千万?羊毛攻防攻略!(2)

拼多多一夜被撸数千万?羊毛攻防攻略!(2)

2019-01-22 09:23  来源:鸟哥笔记 作者:瓜叔 本篇文章有字,看完大约需要 分钟的时间

来源:鸟哥笔记

三 ,内鬼攻击


永远不要考验人性。


内部人员犯案的例子屡见不鲜,从底层的员工到高管甚至是合伙人,都比比皆是。


对于底层员工,哪怕原本再正直善良兢兢业业,也可能有自己的经济压力或是遇到突发的状况,就像《绝命毒师》中演的那样,他即使不为自己,但也可能为老婆孩子而冒险。


对于高层,当一个人面对上千万上亿的诱惑时,没有多少正常人能把持得住,我们有时候对贪官污吏嗤之以鼻,是因为我们还没有设身处地的在那个位置上。


案例太多,大到腾讯公司麻花藤的左膀右臂,小到中小型公司的一线员工。这里就不一一例举,感兴趣的朋友可以自己去查。重点说下预防策略:


1, 所有操作记录可追溯


在后台应该备份有所有人的操作记录


2, 权限精细划分


涉及到以下几类权限时,必须要设置高的权限级别


  • 网站敏感运营数据

  • 业务核心流程

  • 财务相关的操作

  • 涉及利益链的某一环节


高权限账号要唯一对应,每个账号要对应到唯一的责任人;


个别归属不明的账号,如名为Test,Admin等账号都可能埋伏着安全隐患;


一定要设置登录手机验证码验证,以避免其他人冒用;


员工离职时务必注意账号的清除;


定期对账号进行清查。


3, 高危操作管理


根据具体业务流程定义一些行为为高危操作;


当出现高危操作时设置二次确认机制;


当多次出现高危操作时设立报警机制。


4, 敏感系统独立


涉及到敏感信息如财务信息的系统,应该在别的域名及服务器下独立建立,而不要在一个系统上划分一个板块。


综述


拼多多的事件,表面上看是一个技术性Bug,但实际上暴露的是整个运营监控体系,风控体系的不到位,一个不严密周全的运营活动/流程/制度设计,轻则导致企业上百万上千万的损失,重则引发产品信任危机,失去用户忠诚度,甚至影响到产品的生死存亡。


中国互联网公司的高管们,在谋求高速发展的同时,不仅仅是步子迈大了扯没扯着蛋的问题,而是要回头看看蛋有没有跟上自己的脚步。


毕竟,深渊在那凝视着您咧。


阅读了该文章的用户还阅读了

热门关键词

为您推荐

行情
概念
新股
研报
涨停
要闻
产业
国内
国际
专题
美股
港股
外汇
期货
黄金
公募
私募
理财
信托
排行
融资
创业
动态
观点
保险
汽车
房产
P2P
投稿专栏
课堂
热点
视频
战略

栏目导航

股市行情
股票
学股
名家
财经
区块链
网站地图

财经365所刊载内容之知识产权为财经365及/或相关权利人专属所有或持有。未经许可,禁止进行转载、摘编、复制及建立镜像等任何使用。

鲁ICP备17012268号-3 Copyright 财经365 All Rights Reserved 版权所有 复制必究 Copyright © 2017股票入门基础知识财经365版权所有 证券投资咨询许可证号为:ZX0036 站长统计