同程被指窃取创业公司平台用户资料挖墙脚
编辑注:在巨头们的夹缝中生存的创业公司,总是几多不易,旅游行业更是如此。2月20日,出境自由行平台最会游创始人张睿发表文章称,最会游平台游侠(服务出境自由行用户的境外旅游目的地当地人)信息遭同程网窃取,同程网当地人项目负责人向最会游用户发送“挖墙脚”的邮件,流出的聊天记录截图显示,同程相关人员称:“我们的主要竞争目标是携程。”。张睿在文章中透露,来自同程内部的信息表明同程用这种方法已经拿到了数十万个数据,并且携程是他们首要的目标。
以下是张睿的全文:
严正声明:请同程旅游停止对创业公司的偷盗侵害行为!
我们最会游Triploc仅仅是一个成立不足一年的创业公司,本来就如履薄冰,创业维艰,却在2月19号下午遭受了公司成立以来最严重的危机事件,更让我们没有想到的是,事情的始作俑者竟然是成立了十几年拥有百亿估值的旅游前辈同程网。
作为最会游Triploc的创始人,我将用我的人格担保接下来所阐述的一切都是真实的,我们已经聘请了相关律师,在必要的时候即使在强大的前辈巨头面前,我们弱小的初创公司也一定会拿起法律武器来捍卫我们的辛勤汗水和尊严。
事情原委:
突发危机事件
2月19号下午,我正在冲绳出差,接到最会游APP注册游侠的微信询问,说自己收到了同程网发来的邀约邮件。
我当时第一反应以为是偶然事件,就告诉他们也可以选择加入别人的平台,这一点我的态度一直都是开放的。
可万万没想到的是,接下来我们的日本游侠陆续向我们反应,收到了同程发送的邮件,直到我们自己公司的内部测试邮箱也收到了。大量游侠在微信群质问我们,为什么他们只是在最会游注册了游侠,却收到了同程的邮件,是信息遭到了泄漏?请务必给个说法。这个时候我才意识到事情真正的严重性。
于是马上联系团队的成员们立刻去排查这到底是偶然事件还是技术事件,是我们内部的问题还是我们被外面的人给黑了。
彻查事件原委
经过技术团队的排查,结合最会游APP全球注册游侠的问询,我们搞清楚了以下几点。
A:目前就我们了解到的情况,仅仅只是在日本的华人游侠收到了骚扰邮件,通过游侠反馈的截图,可以看出收到的是来自同一个人的邮件邀请,这个人是同程旅游“当地人”项目部的负责人,钱魏,邮箱后缀@ly.com(同程商业邮箱后缀)。#p#分页标题#e#
B:大部分收到邮件的游侠给我们一一反馈了邮件截图,遍布了东京、大阪、冲绳、京都、福冈、北海道等地的130多个游侠,而且所有的邮箱都是该游侠注册最会游时使用的登陆账号(最会游的游侠注册是要求邮箱的)。
C:在日本信息泄漏是非常严重的事情,游侠对此类事情非常的反感,在某种程度上来说这是属于违法的,大部分游侠建议我们拿起法律武器,必要时可以诉诸法庭。
D:我们只能从逻辑上怀疑,是同程使用了非常规手段获取到我们游侠的注册账号信息,因为绝大部分游侠并非旅游从业者,并且只在最会游上注册,不难看出,这件事情很明显是同程直接冲着最会游来的。
根据以上罗列的4点清晰的事实,我们开始排查一切可能导致信息泄漏的原因。首先要严正声明我们有据可查的情况。
技术和过程
技术事实:
-最会游app和网站上从未公开显示过游侠的邮箱
-最会游后台游侠网站的通讯是标准的ssl加密
-最会游api的敏感信息部分都是采用标准的ssl加密
-最会游数据库是受密码保护的
-最会游管理后台是在公司内网,外网不能访问
过程事实:
-最会游从未将游侠的邮箱或微信等信息泄漏给第三方
-最会游游侠注册是邮箱必填,其他不一定
-群发邮件发起人的邮箱后缀名为ly.com
-新注册一个月内的游侠,没有收到邮件,但却在app内收到私信索要个人邮箱
-最会游公司很小,来往人员只有少量实习和面试者,内网数据决非一般员工能获取到。
基于以上事实,我们最终得出的结论就是:这不是一次偶然事件,而是一次有预谋的技术事件,最有可能的结果就是,我们被一个强大的对手通过技术手段给黑了。
被技术攻击的可能性
通过技术手段破解数据库
—可能。
数据库因为要跨国内外数据中心同步,端口是暴露在公网上的。已有密码安全但还有可能存在漏洞。
截取api数据
—可能。
游侠信息的公开部分是可以直接获得的(不包括私密信息)。如果利用注入代码方式,防护不到位可能会看到。
服务器
—轻微可能。
服务器是在阿里云和aws云主机上的。对外开放http和https端口。如果利用漏洞登录至主机上可能拿到数据。
作为创始人,我不是技术背景出身,我们的技术团队数量和经验有限,仅有4个工程师,而同程拥有庞大的工程师团队,论实力我们完全不在一个等级。不过同程即便做的再高明,业内的专业人士都能看懂这里面的猫腻了。不管同程用了什么样的手段,我想说的是,同程的行为是违规违法违反道德的。#p#分页标题#e#
寻求和对方的沟通
事情已经越来越明显,我们不想含沙射影的指责对方。在第一时间我就找到了同程相关的负责人,甚至直接找到了这个群发邮件的同程邮箱拥有者-钱魏。然而在沟通的过程中,可以看出对方并没有解释是如何获取的我们平台注册游侠的大量个人信息,只是推脱说是别人给的,并且告诉我们不是针对我们,携程才是其真正的对手,只是抓取了携程的信息。我想说的是:哥们,能不能不要这么侮辱人,你明明把我上了,结果说其实想上的是别人而不是针对我。难道我们公司前期内部测试的员工邮箱也是从携程上抓取的?
我想针对这个说法作出的回应:
1. 携程的当地人频道是对外开放的,确实很多当地人都留下自己的联系方式,包括QQ、微信和邮箱。但最会游的游侠全部是需要通过最会游App和游客开始沟通,游侠的所有联系方式并没有在外。
2. 最会游的游侠经过我们的排查,我们95%的游侠并没有再携程的当地人频道里,携程当地人频道大部分是专门做导游的,而最会游的游侠更多是各行各业的非旅游从业者。
另外,聊天记录已经足以证明同程的第一步就是招募日本的当地华人,结果最会游的日本注册游侠就全部收到邮件,如果同程要招募全世界各地的当地华人,是不是要再搞最会游一次呢?
至今,我本希望私下里让同程给我一个合理的解释,我也需要给我们日本游侠一个合理的解释,而同程的相关人员依然不理不睬不作正面回答,我只能寻求同程内部员工帮我了解情况。而最终给我消息的是,同程竟然用这种偷鸡摸狗的方法已经拿到了数十万个数据,并且携程是他们首要的目标。
如果真是这样,你们巨头之间的礼尚往来我不管,但为什么牵扯到我们这样一个创业公司,而且数十万数据到底是什么样的数据,如果是爬虫去盗取页面显示的数据随便你同程怎么搞。但如果是偷盗我在后台的注册用户的账号数据,这实在是卑鄙可耻不能容忍的行为。这就好比,你可以拍摄我们家外面的墙面和大门,但你不能偷摸进我家内部来进行拍摄吧!
我向来不排斥别家来我的App里挖人,我从没有要求技术团队屏蔽加微信、QQ、邮箱这样的词汇,这种自信源于我们知道我们下一步路在何方。以前来挖人的,最起码也下载App装扮成用户去勾搭,你同程竟然连这一步都懒得做,这不仅仅是在侮辱最会游,你也在侮辱那些在全世界各地的当地华人。你以为你找些工程师会盗取信息就可以了?不仅无耻连一点情怀都没有。#p#分页标题#e#
同程这样的巨头看重我们初创公司的业务方向,其实我是很开心的,至少证明我们的前进方向是对的,包括携程早已上线的当地人频道。但是作为巨头,你以为你发个邮箱就能一呼百应,你不知道的是你发出来的邮件被我们的游侠一一反馈给我们,还骂你们这样无良的举止;你不知道你想挖我们的墙角,结果我们的游侠全部表态不会加入你们;你不知道最会游到底是做什么模式,你以为放几个当地人开个频道就成立了,这样的做法说明你根本没抓到我们的产品逻辑的精髓。
这种新的游戏,我欢迎巨头一起玩,最会游过去几个月没钱没人,为什么全世界有上千个游侠加入我们?为什么我们才上线4个月连支付交易都还没做完,所有游侠还这么支持我们?一切的一切,你并不懂,很多事不是钱可以办到的,因为你根本不知道全世界各地华人他们需要什么。
同程原本是我非常尊敬的企业,在旅游行业,我认为同程是最接近春秋的那种拼搏和诚信的存在。可是发生这种事情,我发现我错了,当你变得富有,你的那些价值观瞬间开始瓦解。卑鄙无耻不会是强者的通行证,而忍辱负重也不会是弱者的座右铭。本来2月18号是最会游大喜的日子,在资本寒冬中我们获得飞马资本、春秋航空、青骢资本的新一轮数千万注资,仅仅过了一天我们的感恩和那些美好,就被同程的行为搞得烟消云散。
这是我代表公司写的第一篇严肃的声明,也是公司成立以来遇见最为可耻的侵害危机,我郑重的警告同程网过去对于最会游所做的行为,必须给出合理的解释并且道歉。希望同程网作为曾经的行业典范,可以端正态度。
最后,经过这次事件,我们不仅会审查自己的不足,改善自身的问题,也希望优秀的技术专家可以帮助最会游审查此事,欢迎加入我们的团队,一起为旅游互联网的安全做出一份贡献。
创业维艰,旅途不易,让榜样的力量可以在旅游行业再一次崛起。
最会游Triploc 创始人 Ray
2016年2月20日 冲绳