月度归档： 2024年1月

我当时进入到某宠物电商的时候，深刻的记得，当时公司为了降低代码被开发人员拷走的风险，给每个开发人员配置一个台式机用于在内网进行开发，然后配置一个笔记本用于在外网查询资料。

每个台式机的外部都套了一个大黑箱，只有一个小豁口用于台式机的插线的功能，然后需要移位开箱的时候，需要进行申请备案，才能操作。

现在看来这种方式虽在有点low，但是在当时的环境和条件下，已经算是在不易了，尽可能对代码外泄做了一定的物理防护，毕竟我进去之前，公司也没有专业的安全人员，能在一些基线上做点工作，实属不易，而且确实提高了内部人员做恶的成本。

当时我记得上外网用了一个海蜘蛛的网络设备，不是很稳定，经常断网，而且没有对上网行为进行管控，然后对外网的访问限制几乎是没有的，但是内网是无法直接访问到外网的，当然除了我们运维人员和几个领导的之外。总体上的原则是：准进不准出。

在很长的一段时间内，保护了数据的安全，直到后面我们搬移到了新的办公场所，重新对网络进行规划和设计，才引入了深信服的上网行为管理设备。

进入到某电商宠物之后，我就开始接触各种羊毛党和黑产，原因是公司的运营人员对风控这档事儿好像漠不关心，前后被大大小小的搞了很多次，没有复盘，没有总结，结果还是好了伤疤忘了痛，压根没想过如何把实惠给到真实用户，而是只关心营销数据或者GMV这些指标去了，让人感觉不理解。

那么我是怎么关心起业务风控的呢？ 我记得有一次，我在测试一个用户活动，好像是个签到的功能，我就简单地用脚本重复请求了一次，结果也成功，成功之后就会获取一种官方的虚拟抵扣币，暂且叫e币吧 ，而官方的使用规则就是，这个e币可以抵扣总商品价格的10%，简单来说 就是100元的商品，我可以用10个e币抵扣10元，只需要付款90元。这种获取e币的渠道多种多样，主要是鼓励用户多参加官网的活动，提升用户的活跃度，从出发点来看，是ok.

但是这里有个问题，就是这些参与活动的渠道是否都有被严格做过安全测试，我当时也是严重怀疑，然后就自己去灰盒测试了几个活动，果不其然，其中一部分活动存在被绕过或者可以重复参加的情况，可能很多人（包括开发人员+产品经理+测试人员 ）都没有发现。

这些对于专业的羊毛党和黑产来说，是他们所愿意看到的。更严重的是，除了我之外，还没有人去追踪过这些e币的合理性，比如说到底有多少真实用户参与了某个活动，获得了多少个e币的奖励。

说实在的，看到这样的情况，也是很无语的，从实际价值来看，这些e币其实都是公司的营销成本，如果没有这些e币，那么用户就需要追加商品被抵扣的部分，对于公司来说，是资金的损失，但是一些人对待这些e币的态度，认为就是一些虚拟币，公司想发多少，就发多少，即使被薅羊毛了，也问题不大。

有这种看法的人不在少数，而且天真地以为这种情况对公司的危害不大。其实我当时也挺震惊的，因为跟钱相关，真金白银，我想对于公司损失不只是现金流，而重要是那些实实在在的优惠被羊毛党和黑产所窃取。