三 ，内鬼攻击

永远不要考验人性。

内部人员犯案的例子屡见不鲜，从底层的员工到高管甚至是合伙人，都比比皆是。

对于底层员工，哪怕原本再正直善良兢兢业业，也可能有自己的经济压力或是遇到突发的状况，就像《绝命毒师》中演的那样，他即使不为自己，但也可能为老婆孩子而冒险。

对于高层，当一个人面对上千万上亿的诱惑时，没有多少正常人能把持得住，我们有时候对贪官污吏嗤之以鼻，是因为我们还没有设身处地的在那个位置上。

案例太多，大到腾讯公司麻花藤的左膀右臂，小到中小型公司的一线员工。这里就不一一例举，感兴趣的朋友可以自己去查。重点说下预防策略：

1， 所有操作记录可追溯

在后台应该备份有所有人的操作记录

2， 权限精细划分

涉及到以下几类权限时，必须要设置高的权限级别

• 网站敏感运营数据

• 业务核心流程

• 财务相关的操作

• 涉及利益链的某一环节

高权限账号要唯一对应，每个账号要对应到唯一的责任人；

个别归属不明的账号，如名为Test，Admin等账号都可能埋伏着安全隐患；

一定要设置登录手机验证码验证，以避免其他人冒用；

员工离职时务必注意账号的清除；

定期对账号进行清查。

3， 高危操作管理

根据具体业务流程定义一些行为为高危操作；

当出现高危操作时设置二次确认机制；

当多次出现高危操作时设立报警机制。

4， 敏感系统独立

涉及到敏感信息如财务信息的系统，应该在别的域名及服务器下独立建立，而不要在一个系统上划分一个板块。

综述

拼多多的事件，表面上看是一个技术性Bug，但实际上暴露的是整个运营监控体系，风控体系的不到位，一个不严密周全的运营活动/流程/制度设计，轻则导致企业上百万上千万的损失，重则引发产品信任危机，失去用户忠诚度，甚至影响到产品的生死存亡。

中国互联网公司的高管们，在谋求高速发展的同时，不仅仅是步子迈大了扯没扯着蛋的问题，而是要回头看看蛋有没有跟上自己的脚步。

毕竟，深渊在那凝视着您咧。