首页
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
更多
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
支付宝P0级事故损失了多少钱?
文摘
2025-02-06 00:07
广东
关注我的你,是最善良的!
只为苍生说话,用笔杆子道明事态原委、丈量人间温情。
支付宝被曝出严重事故Bug!
从目前的情况来看,在购物、还信用卡、缴纳签证等场景下,在今天下午14:40-14:45期间,所有订单都被“政府补贴”减免20%。
01
支付宝P0级事故损失了多少钱?
不知道大家有没有发现,这两年阿里的大事故越来越多了,先是阿里云出现大量故障,很多服务器无法正常使用,给众多依赖其服务的企业和用户带来极大不便;紧接着雨雀停服长达八小时,对相关业务造成严重干扰;随后阿里云盘也曝出严重 bug。而这两天,支付宝又发生了令人瞩目的八折 P0 事故(就是原本信用卡要还 5000,用支付宝付款只需要付 4000 就可以了),
瞬间成为大众热议的焦点。
显然,这很离谱。
所谓 P0 级事故,是互联网产品中定性最严重的问题,需要立刻马上修复。事后根据支付宝官方的说明,事故原因是在后台配置运营活动时写错了类型和金额。至于损失,支付宝说不会追回。很多网友说,新年第一个红包是支付宝发的。也有网友说,感觉错过了几个亿。对于这件事,背后倒是有两个问题值得讨论。第一,支付宝在这次 P0 级事故中到底损失了多少钱?第二,导致这次严重事故的根本原因到底是什么?
先说第一个问题。我看到网上有很多分析,有说损失几千万的,有说损失上亿的,还有说损失 10 到 20 亿的。其中,有人通过 AI 分析的方式得出了一个逻辑。比如,2023 年第三季度支付宝的交易量是 118.19 万亿,平均到 Q3 的 92 天时间里,每分钟交易量是 9 亿元。事故持续 5 分钟,按照每笔订单 20% 的折扣损失来计算,累计损失金额是 9 到 10 亿区间。如果算到今年的业务增量,
估计在 20 亿区间。
那么,这种算法靠谱么?
我觉得是不靠谱的,因为这里面忽略了一个上限条件,就是补贴的额度设置。在正常的产品设计逻辑中,涉及到这种折扣优惠时都会添加一个设置,那就是金额上限。比如,优惠券数量和金额设置,对应就有一个数值上限。如果消耗额度达到这个值,就会自动停止。
如果支付宝的产品经理真的蠢到这个都没设置,那活该亏死,但我觉得可能性不大。此外,国补本身也是有限额的,更何况支付宝只是所有支付渠道的其中一个,它不会把额度拉满。真实的损失额度,我觉得在 8 位数的数量级是比较可能的。当然,这也是猜测。
再说第二个问题,事故原因是什么?如果复盘这个事故流程,其中包含了产品、技术、测试、运营、审核等至少五个环节。产品基于业务需求设计逻辑,技术根据需求完成开发,测试根据需求进行检测,运营上线后使用,对应负责人层层审批。根据现象说问题,光是转账可使用补贴这一点,就说明系统本身的逻辑设计是有问题的。
然后是运营配置出错,既然能成功设置上线,说明系统本身就是支持的,这是个漏洞,也没有触发任何风控警告。从实际场景来说,优惠的使用是有限制条件的,这既需要在产品需求里定义清楚,也需要在开发过程中做好判断,同时在测试环节也需要用例覆盖。国补优惠在没有任何限制的情况下在转账、还款、商家支付场景下使用,这是个漏洞。
再就是上线前的覆盖测试,这种涉及金额的需求没经过全量测试就上线,本身也不符合规范。我是做技术出身的,我知道很多分支逻辑在主流程开发中可能会被忽略,甚至上线后才能发现问题。
即便是做到开发前的需求澄清和上线前的测试覆盖,要做到全场景无死角问题避免也是很难的。所以,这就是系统开发过程中的不确定性。
另外就是审核,审核是一个人工流程,但凡是人参与的环节就会出错,这也是无法完全避免的。支付宝的这个事故原因显然是两方面的,系统漏洞加人工失职。类似的问题在很多互联网产品上都出现过,哪怕是一些超级大厂的产品,每隔一段时间我们都能看到类似新闻。
不过,支付宝在此次事件中的应对态度值得称赞。官方迅速发表声明,坦诚承认是自身问题导致事故发生,并表示之前因该 bug 而获得不当折扣的用户,其所造成的损失,支付宝自行承担,无需用户补缴。这一做法与之前某闪付处理类似问题的方式形成鲜明对比。某闪付在出现类似状况时,向用户发送消息,要求用户补齐之前的欠款,否则就采取封号处理,并将用户列入黑名单。相较之下,支付宝的处理方式展现出了大企业的担当,赢得了用户的认可,众多网友纷纷为其点赞。
至于支付宝此次 P0 事件背后的真正原因,外界说法不一。但据可靠消息,这次事故并非程序员的失误。程序员们按照既定需求开发并实现了相应功能,然而,是后台人员在操作过程中配错了营销模板,才导致这一严重问题的发生。程序员们对此深感委屈,他们认为自己完成了本职工作,在功能实现上并无差错,而在错误的时间节点上线错误配置的功能,这个责任不应由他们来承担。很多网友表示不服,他们奉劝支付宝收回补偿,不然心里老难受了(感觉错过了好几亿)~
历史上损失最大的一次IT事故发生在哥本哈根的一个完美的阳光明媚的夏日下午,那时全球最大的运输集团开始神经错乱。A. P. 穆勒-马士基总部坐落在哥本哈根港微风习习、铺满鹅卵石的滨海大道旁。建筑物东北角一旁立有一根悬挂丹麦国旗的桅杆,透过6层楼的蓝色玻璃可以看见同样蔚蓝的海水,以及停泊着丹麦皇室游艇的码头。在大楼的地下室,员工可光顾一家企业礼品店,里面摆满了马士基品牌的包包和领带,甚至还有一个罕见的马士基Triple-E巨型集装箱船的乐高模型。这玩意有多大?大到可以大概相当于帝国大厦平躺下来,能够将另一个相当于帝国大厦大小的负载堆在它上头。
这个礼品店还进驻了一个技术帮助中心,这是由IT排障人员运营的集中技术台,就在商店收银台的旁边。2017年6月27日下午,困惑的马士基员工开始三三两两地聚集到帮助台前,几乎每个人都携带了便携电脑。一些电脑上面写着“修复C盘的文件系统”:并且有一个明显的警告要求不能关闭电脑。有的信息则要更超现实,写着“哎呀,你的重要文件被加密了”并且要求支付价值300美元的比特币才能解密。
穿过街道,一位名叫Henrik Jensen的IT管理员正在马士基综合楼的另一部分工作,这是一栋镶嵌了白色石头的建筑,在几个世纪前是皇家海事地图档案馆。(Henrik Jensen不是他的真名。就像我采访过的几乎所有马士基员工、客户或者合作伙伴一样,Jensen也害怕公开讨论本故事的后果。)当他的计算机突然重启时,Jensen正在忙着给马士基将近80000员工准备一项软件更新。他在心里暗骂了几句。Jensen以为这次不在计划之内的重启是马士基IT中心常有的唐突之举。这个企业帝国有8个业务部门,在全球130多个国家有574个分支机构,管理着从港口到物流以及石油探井等一切。而那个设在英国的IT部门几乎讨不到任何人的喜欢。
Jensen抬起头问问办公室内的其他IT同事有没有被如此粗鲁地打断过。当他伸长脖子的时候,他注意到屋子里的每一台计算机的屏幕很快都相继闪灭了。
“我看到一波屏幕都变成了黑屏。黑屏、黑屏、黑屏。黑屏黑屏黑屏黑屏黑屏,”他说。Jensen和他的邻座迅速发现,PC已经被永久锁定了。重启只能返回到同样的黑屏。
在整个马士基总部上上下下,全面危机开始变得清晰。在半个小时之内,马士基员工都在奔走相告,一边大喊着让同事赶紧关机或者断开跟马士基网络的连接以免被恶意软件感染,因为他们已经明白,每一分钟的延误都意味着数十乃至数百的PC被搞残。技术员工跑进会议室拔掉了还在开会当中的机器。很快员工设法越过了被仍然神秘的恶意软件致瘫的被锁上的门禁,将警告信息传给大楼的其他部门。
断开公司的全球网络让公司IT员工度过了超过2小时的恐慌时间。这个流程走完之时,每一位员工都被命令关掉计算机并且放在桌子上不许动。每张桌子上的数字电话在这次紧急网络关闭中也变成无用了。
大概下午3点左右,一位马士基的高管步入Jensen和十多位同事正在焦急等待消息的办公室然后告诉他们回家。马士基的网络已经被破坏得太严重了,以至于IT员工也束手无策。公司的一些资历较老的经历告诉他们的团队要坚守岗位。但是很多员工因为没有计算机、服务器、路由器或者桌面电话就相当于无所事事,唯有一走了事。
Jensen走出来大楼,被淹没到6月下午炙热的气流之中。就像马士基绝大多数员工一样,他也不知道什么时候可以重返工作。雇佣他的那个负责全球各地76个港口以及将近800艘巨轮(其中包括承载上千万顿货物运输的集装箱货船)的运营,运力占到了全球货运量的1/5的海事巨头已经彻底瘫痪(dead in the water)。
乌克兰首都基辅,在时尚的Podil街区角落,咖啡店和公园突然消失了,取而代之的是一幅糟糕的工业景观。在一条过街天桥下面,跨过一些垃圾满地的铁轨,在穿过一道混凝土门之后,矗立着4层楼的Linkgos Group总部,这是一家小型的乌克兰软件家族企业。
爬过3层楼梯后有一间服务器室,披萨盒大小的计算机被一堆电缆连接着并用手写的数字标签做好了标记。在正常的日子里,这些服务器会推动定期的更新——修复的bug、安全补丁、性能等——给财务软件M.E.Doc,这玩意儿就相当于乌克兰的TurboTax或者Quicken。在乌克兰但凡要纳税或者做生意的人几乎都要用到这个软件。
不过2017年的时候,那些机器一度充当着自从互联网发明以来最致命的网络攻击之原爆点的角色——这起攻击至少在一开始是被当做一个国家对另一个国家的袭击而使用的。
在过去4年半的时间里,乌克兰都被陷入到俄罗斯的一场令人煎熬的不宣而战之中。这场冲突还让乌克兰成为俄罗斯网络焦土战政策的试验场。2015、2016年,当据称跟克里姆林宫有瓜葛的黑客Fancy Bear忙着入侵美国民主党全国委员会的服务器时,另一个叫做Sandworm的特工组织也正在入侵数十个乌克兰的政府组织和公司。他们渗透进各种网络,受害者从媒体组织到铁路公司不等,引爆的逻辑炸弹摧毁了数TB的数据。这种攻击遵循着一种施虐狂似的节奏。在那两年的冬天里,破坏者疯狂的肆虐导致了大规模的电力中断——这是第一次确认的由黑客引发的大停电。
但那些攻击仍然不是Snadworm的压轴戏。2017年春,在Linkgos Group无人知晓的情况下,软罗斯的军事黑客劫持了公司的升级服务器,让他们得以将一个隐秘的后门植入到乌克兰以及全世界成千上万台安装有M.E.Doc的PC里面。然后,到了2017年6月,这些破坏者再利用这一后门释放了一种叫做NotPetya的恶意软件,这是有史以来最恶毒的网络武器。
黑客推出的代码经过了精心设计,为的是让它能够自动、快速且不加选择地传播出去。思科的Talos部门是第一家对NotPetya进行逆向工程和分析的安全公司之一,其外联总监Craig Williams说:“迄今为止,这是我们见过的传播速度最快的恶意软件。在你看到它的那一刻,你的数据中心就已经完了。”
NotPetya是两个黑客漏洞先后推动的结果:一个是所谓的EternalBlue渗透工具,这是由美国NSA开发的,但是在2017年初该机构的一次高度机密文件泄露事件中被盗走了。EternalBlue利用了一个特殊的Windows协议漏洞,使得黑客可以自由地控制,在任何未打补丁的机器上远程运行自己的代码。
NotPetya的架构再加上一项较老的叫做Mimikatz的数字万能钥匙发明,就创造出来了一个法国安全研究人员Benjamin Delpy在2011年提出来的概念验证。Delpy原先推出Mimikatz是为了证明Windows其实是把用户的密码保存在内存里的。一旦黑客获取了对计算机的初始访问,Mimikatz就能将那些密码从RAM中取出并且利用来破解用同样证书可访问的其他机器。在多用户计算机的网络上,这甚至还可以利用机器作为跳板对其他机器发动自动攻击。
在NotPetya推出前,微软已经发布了一个EternalBlue漏洞的补丁。但尽管如此,EternalBlue和Mimikatz仍然搭配出了一个致命组合。Deply说:“你可以感染那些没打补丁的机器,然后获取那些计算机的密码去感染其他打了补丁的计算机。”
NotPetya的名字灵感源自勒索软件Petya,这是2016年初浮出水面的一段犯罪代码,被感染的受害者必须交一笔钱才能拿到文件解锁的密钥但NotPetya的勒索只是个幌子:该恶意软件的目标纯粹是要搞破坏。它对计算机的主引导记录(MBA)进行了不可逆的加密,MBA是机器最底层的机制了,操作系统放在哪里完全要靠它来引导。因此受害者支付再多的赎金也是徒劳的。没有任何密钥能够对已经被加密噪音污染的内容进行还原。
武器的目标是乌克兰。但是其爆炸辐射范围是全世界。“这就好比是用原子弹来取得一次小型的战术胜利,”Bossert说。
NotPetya的释放是一种网络战争(无论按照哪一种定义方式)行为——其爆炸性之大甚至可能超出创建者的意图。在出现数小时之内,蠕虫就蔓延到了乌克兰以外感染到全世界从宾夕法尼亚的医院到塔斯阿尼亚岛的巧克力工厂的无数机器上,给包括马士基、制药巨头默克、联邦快递欧洲分布TT Express、法国建筑公司Saint-Gobain、食品制造商Mondelēz以及制造商Reckitt Benckiser等在内的跨国公司予以重创。给每一家都造成了9位数的损失。病毒甚至还传播回俄罗斯,给国营石油公司俄罗斯石油造成打击。
据美国白宫估计,其结果就是超过100亿美元的总损失(这个是前美国国土安全部顾问Tom Bossert透露,攻击发生时他是特朗普总统最资深的网络安全官)。Bossert与美国的情报机构还确认今年2月时俄罗斯军方应该对发布该恶意代码负责。
要想感受一下NotPetya造成破坏的规模,不妨回顾一下今年3月瘫痪了亚特兰大市政当局的那种噩梦般但更典型的勒索病毒攻击:其损失为1000万美元,仅占NotPetya造成损失的千分之一。甚至在NotPetya爆发之前的2017年5月传播的更恶意的蠕虫WannaCry,所造成损失据估计为40亿美元到80亿美元之间。此后再无病毒能望NotPetya的项背。Bossert说:“尽管这场战争并没有人员损失,但效果已经相当于为了实现一场小型战术胜利而投放的核弹。这种鲁莽程度是我们在世界舞台上所无法容忍的。”
在NotPetya震撼了世界之后,《连线》深入调查了被这个蠕虫重创的企业巨头之一马士基的遭遇,其惨痛经历独特地说明了网络战争的危险性现在已经威胁到全球现代基础设施。就像《连线》接触的所有非乌克兰受害者一样,马士基的高管也不愿以官方身份对本文发表任何评论。本文的许多马士基现员工和前员工也都选择保持匿名。
但是NotPetya的故事主角其实不是马士基,或者甚至也不是乌克兰。这个故事要讲的是一个国家的战争武器被释放到国界毫无意义的媒介时会发生什么,而且其附带损害会通过一种残酷的、意料之外的逻辑加以传播:本来目标是乌克兰的攻击连累到了马士基,而对马士基的攻击又连累到了所有人。
Oleksii Yasinsky原先以为周二那天办公室应该是没什么事的。那是乌克兰法定假日宪法日的前一天,他的大部分同事不是计划度假就是已经在度假中了。但Yasinsky没有。过去一年,他一直是Information Systems Security Partners(ISSP,即将成为对乌克兰网络战的受害者求助对象)的网络实验室负责人。这个岗位职责是不允许有宕机时间的。实际上,自从2015年底俄罗斯发动第一波网络攻击以来,他休假的时间加起来才只有一周。
所以,那天早上当Yasinsky接到一个电话时他并没有慌张。电话是ISSP总监打过来的,说乌克兰第二大银行Oschadbank遭遇攻击。银行告诉ISSP说自己受到了勒索病毒的感染,这是一种日益常见的危机,发起者通常是以赚钱为目的的犯罪分子。不过当Yasinsky半小时后走进Oschadbank的IT部门时,他感觉到这次的袭击不一样。Yasinsky说:“员工们不知所措,完全处在震惊状态。”银行上万计算机当中约90%都被锁定,上面显示着NotPetya的“修复硬盘”消息以及勒索消息画面。
在对该银行幸存的日志进行快速检查之后,Yasinsky可以发现攻击是一种设法弄到了管理员证书的自动蠕虫。这使得它可以像偷走了看守钥匙的囚犯一样在银行的网络内横冲直撞。
当Yasinsky回到ISSP办公室分析银行这次遇到的袭击时,他开始陆续收到乌克兰各地打来的电话和短信,告诉他其他公司和政府机构也遇到了类似情况。一个人告诉他另一位受害者曾试图支付赎金。就像Yasinsky猜想一样,支付并没有效果。这不是普通的勒索软件。他说:“解决这个没有银弹,没有解药。”
2017年,恶意软件NotPetya从一家不知名的乌克兰软件公司的服务器传播到了一些全世界最大的企业,令其运营陷入瘫痪。下面这份清单列举了其中一些最大受害者的损失。
$870,000,000美元
制药巨头默克公司
$400,000,000美元
物流公司联邦快递(因为欧洲子公司TNT Express而受累)
$384,000,000美元
法国建筑公司Saint-Gobain
$300,000,000美元
丹麦海运巨头马士基
$188,000,000美元
快餐公司Mondelēz(纳斯贝克与吉百利的母公司)
$129,000,000美元
英国制造商Reckitt Benckiser(Lysol与杜蕾斯所有者)
总计:100亿美元
——据白宫估计的NotPetya造成的总损失
向南1000英里,ISSP CEO Roman Sologub正试图在土耳其南海岸过个假期,准备着跟家人一起奔赴海滩。这时候他的手机也开始被ISSP那些要么眼睁睁看着NotPetya在自己的网络肆虐要么被网络攻击的新闻吓到正疯狂寻求建议的客户打爆。
Sologub只好撤回酒店,在那一天剩下的时间里他总共记录了超过50起客户电话,他们一个接一个地报告说自己的网络被感染了。实时监控客户网络的ISSP安全运营中心警告Sologub说NotPetya正以恐怖的速度渗透到受害者的网络:它只用了45秒钟就把一家乌克兰大型银行的网络搞瘫。ISSP曾经出于演示目的给乌克兰一个重要的交通枢纽部分安装了自己的设备,那些设备也在16秒钟之内就被完全感染了。能源公司Ukrenergo,ISSP曾在其2016年遭受严重网络攻击之后帮助重建了网络,这次还是被袭击了。“你还记得我们打算实施新的安全控制吗?” Sologub回忆起一位沮丧的Ukrenergo IT部主任在电话里面问他的话。“完了,已经太迟了。”
很快,ISSP的创始人,连续创业者Oleh Derevianko也中断了自己的休假。关于NotPetya的电话打来时,Derevianko正驱车北上度假,到乡下看望家人。接到消息后他马上开下高速公路,到路边的一个饭店就地开展工作。下午刚开始不久时,他就警告致电的每一位主管要透他们毫不犹豫地把网络断掉,哪怕这意味着关闭整个公司。在很多情况下,他们已经等待了太久了。Derevianko说:“等到你赶到他们那里时,基础设施已经被摧毁了。”
NotPetya正在吞噬着整个乌克兰的计算机的生命。光是基辅就有4家医院受到打击,此外还有6家电力公司、2个机场、超过22家乌克兰银行,零售商和交通运输业的ATM和卡支付系统,以及几乎每一家联邦机构均受波及。乌克兰基础设施部部长Volodymyr Omelyan一言蔽之:“政府已经死了。”据ISSP,至少有300家公司被攻击,一位资深的乌克兰政府官员估计本国有10%的计算机被抹除了数据。攻击甚至还关闭了基辅以北60英里外的切尔诺贝利清理现场科学家所使用的计算机。Omelyan说:“这是对我们所有系统实施的大规模轰炸。”
傍晚当Derevianko从饭店出来时,他到加油站想给自己的车加油却发现那家加油站的信用卡系统也已经被NotPetya干掉了。兜里没钱的他盯着油表,担心还够不够油开回老家。整个乌克兰的人都在问类似的问题:有没有足够的钱去买百货和加油来撑过这场闪电战,自己能不能拿到薪水和养老金,能不能开出处方。到了那天晚上,当外面世界还在争论NotPetya究竟是犯罪性的勒索软件还是受国家支持的网络战争武器时,ISSP的员工已经开始把它形容为一种新现象:一场“大规模的协同作战的网络入侵。”
在这场瘟疫中,有一例感染对马士基来说将是决定性的:在位于乌克兰黑海边港口城市敖德萨,马士基乌克兰分部的一名财务主管要求IT管理员在一台计算机上安装会计软件M.E.Doc。这一举动让NotPetya得到了唯一需要的一个立足点。
新泽西伊丽莎白的海洋转运站是马士基的76个所谓的APM Terminals(港口运营部门)之一——它蔓延到了纽瓦克湾的一个方圆1平方英里的人造半岛上。成千上万堆叠的、模块化的集装箱布满了那里大面积的柏油地面,200英尺高的蓝色吊机在港湾隐隐若现。从5英里之遥的下曼哈顿区摩天大楼顶楼望过去,它们就像是侏罗纪时代聚集在水坑周围的腕足类恐龙一样。
天气好的时候,每天大概有3000辆卡车会来到转运站,每一辆都有分配好的任务,要装载或者卸载上万磅的东西,从纸尿布到牛油果或者拖拉机零件,不一而足。它们就像飞机乘客一样开始那道流程,看看转运站的出入口,在这里扫描议会自动读取集装箱的条码,一位马士基的门卫会通过音响系统跟卡车司机通话。司机会收到告诉停到哪里的打印好的放行条,然后一台大型场地起重机就会把集装箱从卡车底盘吊起,搬到货场堆起来,接着再装进集装箱船,漂洋过海,或者整个过程反过来。
6月27号的那个早上,Pablo Fernández预计会有相当于几十辆卡车装载量的货物要离开伊丽莎白港去到中东的一个港口。Fernández的身份是所谓的货运代理——货主为了确保自己的财产能够安全抵达半个地球只要的目的地而付费雇佣的中间人。(Fernández并非真名)
新泽西时间大概9点左右,Fernández的电话开始响起来自愤怒货主的一连串尖刻的呼叫声。他们都从卡车司机那里听说车被堵在马士基伊丽莎白转运站外面了。Fernández说:“大家都急得上蹿下跳。他们都无法让自己的集装箱进出。”
因为那道门是马士基在整个新泽西转运站的咽喉要道,但现在已经歇菜了。门卫悄悄溜走了。
很快,数百辆18轮的大拖车都只好依序倒车,长长的队伍在转运站外绵延数英里。同一个港口附近另一家公司转运站的一名员工目睹了那些卡车前后保险杠挤到一起排长队的情形,甚至长到他都看不到头。他还看到门禁系统在15到30分钟之内宕掉。但是几个小时后,马士基依然一声不吭,港口管理方发出警告称该公司在伊丽莎白的转运站次日可能将会关闭。附近转运站的那位员工记得:“那时候我们开始意识到,这是一次袭击。”警方开始接触那些司机,告诉他们带着庞大的载荷离开。
Fernández和无数其他抓狂的马士基客户面临着一个凄惨的选项:他们可以把自己的贵重货物以昂贵的最后成交价卸到其他船上。或者,如果他们的货物是紧凑的供应链的一部分,比如工厂的部件的话,马士基的中断将意味着采用费用高昂的空运手段,否则的话生产流程将有停滞的风险,一天的停工意味着几十万美元的损失。很多集装箱,也即是所谓的冰箱,那是要供电的,里面装满了容易腐烂需要冷冻的货物。这些集装箱得找地方插电以免东西坏掉。
Fernández必须仓促地在新泽西找一个仓库来存放客户的货物,一边等着马士基的消息。他说,在那整整的第一天里,他只收到了一封官方邮件,来自一位疲惫不堪的马士基员工的Gmail账号,内容听起来就像“胡言乱语”,对这场装卸危机并没有做出真正解释。公司的集中预订网站Maerskline.com也宕了,马士基员工没有一个人接电话。实际上,那天他要装上马士基货船的货物将会被落在堆场以及全球各地的港口达3个月之久。Fernández回忆起这件事时一声叹息:“马士基就像个黑洞,这就是一场大杯具。”
实际上,这是大杯具中的大杯具。从洛杉矶到西班牙阿尔赫西拉斯再到荷兰阿姆斯特丹乃至孟买,相同的一幕在马士基76个转运站当中的17个上演。门禁坏了。起重机被冻结了。全球范围内成千上万的卡车都在掉头撤离陷入昏睡中的转运站。
新订单没法下了,这基本上相当于断绝了马士基核心的运输收入来源。马士基货船的计算机没有受到感染。但转运站的软件由于需要接收那些船发送的电子数据交换(EDI)文件,通过这些文件转运站运营方才能知道货舱装的是什么,但现在这些信息已经被完全抹去了。这使得马士基的港口变成了无头苍蝇,不知道如何去指导完成这项庞大的装卸集装箱的堆积木游戏。
在接下来的几天里,全世界最复杂、互联性最强的分布式机器之一,本身也是全球经济循环系统基础的马士基仍将无法运转。一位马士基的客户回忆道:“显然这个问题的量级在全球交通业是前所未有的。在整个运输IT史都没人曾经历过影响如此深远的危机。”
在自己位于马士基办公室角落的屏幕黑屏了几天之后,Henrik Jensen正在根本哈根自己的公寓家中,享受着荷包蛋、吐司加果酱组成的早午餐。自从周二他走出办公室以来,他都没有收到任何上司的消息。然后他的手机突然响了。
接了电话后他才知道这是一次电话会议,另一头还有3个人。他们说他们需要他。他们是马士基梅登黑德办事处的员工。梅登黑德是位于伦敦西部的一个小镇,是这个企业集团IT统领Maersk Group Infrastructure Services(马士基集团基础设施服务)所在地。他们告诉他放下一切去到那里。马上。
两小时后,Jensen已经在一架飞往伦敦的飞机上,然后上了一辆车来到梅登黑德中心移动8层楼高的玻璃砖混建筑。当他抵达那里时,他发现4、5层楼已经被改造为24/7 应急指挥中心。该中心的目的只有一个:在NotPetya灾难之后重建马士基全球网络。
Jensen了解到,一些马士基员工自从周二NotPetya的第一波攻击以来就椅子呆在恢复中心。一些人就睡在办公室,在桌下或者会议室角落。似乎每分钟都有其他人从世界各地手里提着行李赶来。马士基几乎将方圆10英里之内的所有酒店客栈的客房都预订一空。员工则靠某人从附近Sainsbury的日杂百货店买回来堆在茶水间的小吃填肚子。
梅登黑德应急中心由德勤管理。马士基让德勤来负责处理NotPetya问题,这基本上是给了这家英国机构一张空头支票,任何时候都有多达200名德勤员工驻扎在梅登黑德办事处,另外还有400名马士基的人。因为害怕会感染新系统,在NotPetya爆发前马士基使用的所有计算机设备均被收缴,而且还贴出了告示,任何人要是违反规定使用的话将会被纪律处分。所以员工们纷纷跑到梅登黑德的每一家电子商店买了一堆的新笔记本并且预付了Wi-Fi热点。就像数百名其他的马士基IT员工一样,Jensen也被分配了一台新的笔记本用来干活。他说:“当时的情况很像是‘找个地方,开始干活,做一切需要完成的工作。’”
一开始开始重建马士基网络工作的时候,IT员工意识到了一件十分令人厌恶的事情。他们本来已经找到了几乎所有马士基服务器的备份,日期从NotPetya爆发前的3到7天不等。但是公司网络的关键一层的备份却没有一个人能找到:这一层就是域控制器,这些服务器的作用相当于马士基网络的详细地图,还负责设定确定哪些用户可以访问哪些系统的基本规则。
马士基 150个左右的域控制器事先已经编程好要相互同步各自的数据,所以在理论上其中任意一个都可以充当所有其他域控制器的备份。但这种去中心化的备份策略在一个场景下不适用:每一个域控制器都被同时抹掉数据时。一位马士基的IT员工记得当时是这么想的:“如果我们不能恢复域控制器的话,那就任何东西都恢复不了了。”
在疯狂地将世界各地的数百位IT管理员都召集过来之后,马士基绝望的管理员终于在一个远程办事处——遥远的加纳找到了了唯一一台存活的域控制器。
在疯狂地将世界各地的数百位IT管理员都召集过来之后,马士基绝望的管理员终于在一个远程办事处——遥远的加纳找到了了唯一一台存活的域控制器。那是因为在NotPetya攻击发动前,断电导致加纳的那台机器离线了,使得那台计算机仍然没有连上网络。因此在那台机器上保留了唯一一份已知的未被恶意软件感染的域控制器数据——这一切都要感谢断电事件。一位马士基的管理员说:“当我们找到它时,办公室到处是欢呼雀跃。”
不过,当梅登黑德紧张的工程师设置好到加纳的连接时,他们发现它的带宽太小了,要想把几百GB的域控制器数据备份回英国的话得要好几天。他们的下一个想法是:让加纳员工赶最早的班机到伦敦。但是问题是西非办事处的员工没有一个人有英国护照。
于是梅登黑德中心又设法安排了一次接力赛:加纳办事处的一位员工先飞到尼日利亚在机场跟另一位马士基员工对接,转交那块极其珍贵的硬盘。那位员工然后携带着马士基整个恢复过程的基石,再坐6个半小时的飞机降落到希斯罗机场。
当拯救工作结束时,梅登黑德办事处就可以将马士基的核心服务恢复上线了。在第一天之后,马士基的港口运营恢复了读取货船存货文件的能力,这样操作员对抵达其港口的巨型集装箱船里面装的是什么就不再一无所知了。但是马士基要想从Maerskline.com接受新订单还需要几天的时间,而全球各地的转运站要想恢复任何程度的正常运营还需要一周多的时间。
与此同时,马士基的员工还在利用手头一切现有的工具。他们发纸质文档给停留在APM港口的集装箱船,通过个人Gmail账号、Whatsapp以及Excel电子表格接受订单。一位马士基客户说:“我可以告诉你,通过WhatsApp订500个海运集装箱是一次相当离奇的体验,但这就是我们干的事情。”
在发生那场袭击2周之后,马士基的网络终于恢复到公司可以重新下发个人计算机给绝大部分员工的程度。回到哥本哈根总部,大楼负层的自助餐厅被挪用为重新安装的装配线。每次都有20台计算机排成一排,帮助台的员工会按顺序走下来,插入USB他们已经拷贝了几十个的USB,按照提示不断点击数小时。
从梅登黑德返回几天后,Henrik Jensen在按字母排列的几百台笔记本电脑当中找到了自己的,硬盘里面的东西都已经被抹掉了,并且安装了一个干净的Windows镜像。从笔记到家庭照片,他和其他马士基员工在机器本地存储的一切都已经消失了。
在马士基从NotPetya攻击中恢复过来5个月后,马士基主席Jim Hagemann Snabe坐到了瑞士达沃斯世界经济论坛大会的舞台上,对公司IT部门在这次拯救行动中付出的“英雄般的努力”表示称赞。他说,从6月27日凌晨4点他在加州(本来他是要在斯坦福出席一次会议的)被一通电话吵醒开始,公司只用了10天的时间就重建了由4000台服务器和45000台PC组成的整个网络。(完全恢复需要花更长的时间:梅登黑德一些员工还得夜以继日地工作将近2个月来重建马士基的软件安装。)Snabe对观众说:“我们用人的韧劲克服了问题。”
从那以后,Snabe继续道,马士基不仅致力于改进自身的网络安全,而且还把它发展成了一项“竞争优势”。的确,在NotPetya的唤醒下,IT员工几乎他们提出的每一项安全功能都马上被批准了。多因子验证在全公司得以铺开,一直被搁置的Windows 10升级工作也获批了。
不过Snabe对于公司在NotPetya之前的安全态势却说得不多。马士基安全员工告诉《连线》说公司的一些服务器在受到攻击前仍然跑的是Windows 2000——这个操作系统已经老到微软都不再支持了。2016年时,一群IT主管曾经推动过对马士基整个全球网络进行前瞻性的安全再设计。他们呼吁要对马士基不够完美的软件补丁、过时的操作系统以及最主要的,网络分段的低效这些问题赋予关注。他们警告说,尤其是最后这个漏洞会使得能访问网络一小部分的恶意软件疯狂扩散到当初的立足点以外的地方,这正是一年后NotPetya导致的情形。
这些安全改造提案获得了批准以及相应预算。但是它的成功从来都不在马士基大多数资深IT监管者所谓的KPI范畴之内,所以实现这些对他们的奖金并没有贡献。他们从来都没有用心去推进安全的改造工作。
很少有机构愿意愿意多花钱去趟安全这趟浑水。在达沃斯演讲中,Snabe称由于应对迅速以及手工的变通方式,公司因NotPetya中断导致的订单损失仅占总量的20%。但除了业务损失、下线时间以及重建整个网络的成本以外,马士基还赔偿了许多客户变更航线或者存放其无路可去的货物的开支。一位马士基客户谈起了自己收到过该公司7位数的支票以弥补改航空货运的损失。他说:“在不到2分钟的讨论之后他们就给了我很酷的100万。”
Snabe在达沃斯上说,NotPetya给马士基造成的损失总计在2.5亿美元到3亿美元之间。不过《连线》私下对话过的大多数员工怀疑公司的会计压低了数字。
因此,人治情况下的产品就有这个弊端,如果未来 AI 能在这方面做好提前干预和及时止损,情况或许会变好。对于互联网产品来说,机制要好于流程。最后,支付宝在事后的公关表现上还是比较聪明的。因为,
用户需要的是安全感。
数字化转型室
只为苍生说话,用笔杆子道明事态原委、丈量人间温情。
最新文章
一文秒懂手机品牌系列,收藏起来看看!
仪表盘上出现“乌龟晒太阳”,老司机提醒:立刻停车,别拿生命开玩笑!
全网最全DNS(含电信、移动、联通)好DNS地址,提升网速和稳定性
如果想买华为Pura70系列,这20个问题不能不知道
超好用的磁力搜索神器合集,想搜啥就搜啥!简直逆天了!
为什么不建议买混合动力汽车?老司机说出大实话,太现实!
苹果重回榜首、抖音进前五,Brand Finance 2024 全球科技品牌价值 100 强榜单发布
手机电池饿死了,充不进电怎么办?教你一招救活它!
2024年最佳蓝牙耳机推荐
支付宝P0级事故损失了多少钱?
公认几款最好用的平板电脑,几乎无差评!
充电宝品牌排行前十名
吴士宏:“从打工女皇,到负债千万,我砸碎所有自尊”!复出做“企业家教练”
机场安检员提醒,这三样东西可以带上飞机,好多人不懂都偷偷扔了
原来营业厅都改不了的手机套餐,一招即可改为最低的8元套餐
只需打开开关,微信撤回都消息也能查看了,早点知道就好了!
雅迪新一代冠能E8,两轮电动车中的“劳斯莱斯”,真实测评见分晓
"资源机和零售机区别大,别买错了!你买的到底是什么机?"
五路财神都有谁?你都了解吗?
外媒发布的亚洲幸福感城市!中国18城市上榜!快看看你所在的城市入列了吗?
为什么香港人宁愿带现金,也不用微信支付和支付宝?看完你就懂了
手机密码忘记了怎么解锁?教你一招,自己就能解锁!
只需打开开关,微信撤回都消息也能查看了,早点知道就好了!
光棍众多的印度,为什么女性结婚还要倒贴巨额嫁妆?
崇祯把魏忠贤一杀,为何大明朝就垮了?王承恩说了一句很中肯的话!
雅迪新一代冠能E8,两轮电动车中的“劳斯莱斯”,真实测评见分晓
原来营业厅都改不了的手机套餐,一招即可改为最低的8元套餐
"资源机和零售机区别大,别买错了!你买的到底是什么机?"
机场安检员提醒,这三样东西可以带上飞机,好多人不懂都偷偷扔了
吴士宏:“从打工女皇,到负债千万,我砸碎所有自尊”!复出做“企业家教练”
“刀乐哥”爆火,老外为啥对中国商品着迷?
不管是什么手机,教你这样设置,瞬间提升网速,手机流畅不卡
微信支付受限制?试试这招!
家里的路由器信号差网速慢,打开多频合一开关,瞬间网速翻倍?
红米K70至尊版和红米K70Pro哪个好?差200元我们应该怎么选?
终于有人一次性把电脑键盘说清楚了
随身WiFi的几个大坑,一定要看看
串串房为何被称为“白血病套餐房”?
路由器的天线朝哪个方向,信号才会最强,10人有9个都放错方向了
不管什么安卓手机,这个设置尽早开启,流畅度飙升60%!
不管是什么手机,教你这样设置,瞬间提升网速,手机流畅不卡
中国移动最早号码段进入“升值期”?138、139号段很值钱,你有吗?
没有受到电商冲击的理发店,为何接二连三倒闭?背后原因令人感慨
家里的路由器信号差网速慢,打开多频合一开关,瞬间网速翻倍?
人类灭亡的几种可能,人工智能、外星入侵还是小行星撞击?
微信支付受限制?试试这招!
红米K70至尊版和红米K70Pro哪个好?差200元我们应该怎么选?
终于有人一次性把电脑键盘说清楚了
华为 Pura70 系列不怕丢!云空间实现楼层级设备查找!
“刀乐哥”爆火,老外为啥对中国商品着迷?
分类
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
原创标签
时事
社会
财经
军事
教育
体育
科技
汽车
科学
房产
搞笑
综艺
明星
音乐
动漫
游戏
时尚
健康
旅游
美食
生活
摄影
宠物
职场
育儿
情感
小说
曲艺
文化
历史
三农
文学
娱乐
电影
视频
图片
新闻
宗教
电视剧
纪录片
广告创意
壁纸头像
心灵鸡汤
星座命理
教育培训
艺术文化
金融财经
健康医疗
美妆时尚
餐饮美食
母婴育儿
社会新闻
工业农业
时事政治
星座占卜
幽默笑话
独立短篇
连载作品
文化历史
科技互联网
发布位置
广东
北京
山东
江苏
河南
浙江
山西
福建
河北
上海
四川
陕西
湖南
安徽
湖北
内蒙古
江西
云南
广西
甘肃
辽宁
黑龙江
贵州
新疆
重庆
吉林
天津
海南
青海
宁夏
西藏
香港
澳门
台湾
美国
加拿大
澳大利亚
日本
新加坡
英国
西班牙
新西兰
韩国
泰国
法国
德国
意大利
缅甸
菲律宾
马来西亚
越南
荷兰
柬埔寨
俄罗斯
巴西
智利
卢森堡
芬兰
瑞典
比利时
瑞士
土耳其
斐济
挪威
朝鲜
尼日利亚
阿根廷
匈牙利
爱尔兰
印度
老挝
葡萄牙
乌克兰
印度尼西亚
哈萨克斯坦
塔吉克斯坦
希腊
南非
蒙古
奥地利
肯尼亚
加纳
丹麦
津巴布韦
埃及
坦桑尼亚
捷克
阿联酋
安哥拉
