扯淡需要一个引子，今天引子来了。

看到有人发这么一段：

> -本来一直都在当当买书觉得还不错。但昨天的一次购书经历简直让小爷我惊呆了：

> -昨天将近20点在当当买书，在线完成支付，今天中午骗子来电说因为失误将图书以到付方式寄送，会帮我进行线上退款，需要我在收到快递时付下现金，作为补偿会给优惠券，关键是丫竟然清晰的说出了我的下单时间，所买书籍，以及送货地址，还给我邮箱发了一个退款链接。

> -作为一个互联网从业人员，我很快看出丫的链接域名不对，网页粗糙，而且邮件发信人email地址非当当官方。但我相信整个过程是很容易欺骗到用户的，详细的购买信息——这些我们认为只暴露给当当的信息，邮件中当当网商城的标记，退款的驱使，时间的把握——恰好在邮寄到货前打来。说实话我有一瞬间几乎要相信了。

> -好了，对于有人诈骗这事我从来没有这么气愤过，主要原因是从来没有钓鱼的人能知道我这么多信息：我几点几分在当当购买了几本书，价值多少，寄送地址，邮箱账号。妈的，我一直认为我的隐私被保护着，至少当当以外的人不会看到吧，没想到尼玛竟然这么赤裸裸的就暴露。还好没在当当买过什么重口味的东西。

> -希望当当能给用户一个说法，也请大家互相转发，保持警惕。

引用结束。

先利益相关申明一下：

我不是当当的，也不在当当的任何友商供职，跟当当也没有私仇，只是一个普通消费者，在当当买过几次书。

自己没遇过上面这种事，以后还会继续上当当，保不齐哪天会遇到，但也不会觉得有什么奇怪的。

因为就眼下大部分互联网公司的数据安全意识来说，“这样的事基本上就是必然发生的”。

保护顾客的个人隐私，本应是所有商业组织的底线，可到了互联网公司这里，不论是主动或被动泄露用户隐私，似乎都成了普遍的现象。

“不作恶，真的有那么难么？真的有。”

为什么？下面就开始扯。

#一、不是官方的锅。

泄露用户的真实信息给骗子，这种事吧，明眼人一看就知道，“肯定不可能是官方行为”。

先不说当当这么大一个公司，缺不缺这么点卖用户隐私换来的钱，就算再小的公司，它也没理由这么做啊。

因为获取一个真实有效的用户，任何互联网公司是要花真金白银、或者是等价的流量资源的。

不同领域可能价格不一样，取决于你卖的东西是什么、用户的消费能力如何。比如今日头条可能2块钱得到一个app读者，蘑菇街20块钱换来一个真实消费者。数据我随便编的，万一跟真实数据一样，我可不承认。

花钱获得了用户之后，当然希望的是长期变现。满足用户需求的同时，自己也能赚到钱，让公司更好地活下去，对吧。

那如果公司好不容易花钱拿到了用户的信息，再为了赚钱而直接全部卖给别人，这不有病么？完全是杀鸡取卵嘛。

在这个人人都讲“大数据”但其实没人见过“大数据”的年代，互联网里随便一个有脑子的人都知道数据的重要性了，恨不得花钱把别的公司的数据全偷过来才好，怎么可能还官方出售自己的数据呢？

#二、可锅还是官方背了。

可用户的数据只提交给了当当，不是当当卖的，那骗子是怎么拿到的？

“数据泄露”了呗。

可能不了解情况的朋友已经开始脑补黑客帝国了，实际上呢，根本不需要那么高大上。

这篇文章不是为了黑当当，所以后面就不拿当当举例子了，只说这个逻辑。

万一我说的又正好跟真实情况一样，我可还是不承认的。

一家在美国上市的正规互联网公司，它的核心资源，也就是它的用户真实数据，是怎么泄露的呢？

借用我一个特工朋友常说的话：“保密体系里最脆弱的环节，永远是人。”

内部员工自己偷的呗。。。

要偷也不难。比如说我是一个程序员（恰好我不是，所以我可以不承认这事是我干的），我像公司的其他成百上千个程序员（还可能不光是程序员，还有产品狗、运营狗甚至客服狗）一样，都“有权限访问公司的某些数据库”。

这些数据库里放着的，可不是一行行代码或者数据，而是对公司、对竞争对手、对整个市场上所有人，都非常有价值的，用户的真实信息。

然后我无意间写了一行sql（哈哈哈可能是select * from xxx不要笑严肃点），点了运行，过了几分钟机器吐给我最近一周成交的几万个订单的详细数据，包括了用户的姓名、手机、住址、商品、备注等关键信息。

然后我无意间找了一个U盘把这个数据文件拷回家拿给我的好哥们儿了，或者我心更大点手一抖不小心直接扔到QQ里传给我的好哥们儿了，好哥们儿说你真仗义然后转账给我一点儿钱。

好了故事讲完了。

用户才不关心这些呢，他也管不着啊。

我“出于信任，把数据交给你们公司”，你公司里自己出了内鬼，却要我来承担隐私泄露的麻烦？

擦你大爷。这是用户的真实心声。

实话实说，我虽然没在当当遇上过这事，但我在“网酒网”是遇到过的。

我当时刚在这个网站上买了一瓶红酒，转天全中国所有卖酒的网站甚至是私酒贩子都他妈知道我家住哪儿了。

当时的微博还在，我给你们转出来看看。

> #耻辱柱#我前段时间在@网酒网买过红酒，今天一个自称“尚品红酒”的号码021-31757173给我打电话，能详细地说出我的姓名、收货地址并显然知道手机号，问询后对方表示是在网酒网看到了我的购买记录——垃圾网站，警惕。发于2013.8.8

因为我很少网购，更别提买酒了。我在且仅在网酒网干过这勾当，所以泄露源非常清晰。打电话他们客服之后，他们也承认遇到了类似投诉并且已经报警，怀疑有人窃取了公司核心数据。但最后这事也不了了之，说是送了我一张网站优惠券什么的吧，谁他妈的还敢用啊。

我发了这条微博之后，官方客服都道歉了，结果跑出来一个@蓝色遐想认证信息为“亮点时间策划刘锦军”的妖怪纠缠，非要说我是水军黑子，收钱黑网酒网，还私信骂我。我私信回复了一句“哥们儿你是实名认证，有些事还是低调点好，好心劝你，别到时后悔”，这货消停了。

但即便如我这种明白人，也从此再不会用网酒网了。

毕竟虽然不是你的锅，可你还是得背着。

相比于你，“我他妈更是招谁惹谁了？”

#三、真不是公司的锅么？

可话又说回来了，这真的是个别员工的个人问题？

老话说得好，“慢藏诲盗”。

自己的值钱东西没收好，都有可能是在鼓励别人盗窃。

更何况这些互联网公司，你们值钱的东西不全是自己的呀，是一帮活生生的信任你们的用户的个人隐私啊。

就不能长点心么？

能长啊，当然能长，回头看看互联网圈里最长心的一只海燕，谷歌。

号称“从不作恶”。

我又开始胡编了，万一跟真实情况一样，我还是不承认的。

假如回到上面那个故事，我又要写一行sql来不小心偷公司的数据了，在谷歌会发生什么。

> -首先，我“根本就没有访问权限”。绝大部分人没有访问核心数据库的权限，只有很少被公司信任或约束的人才有权限。

> -其次，哪怕我有权限，也“不能随便跑数据”。因为所有的操作都会留下记录，而有专人在检查这些记录，防止数据泄露。我在运行获取数据的命令之前，就已经有流程一道道审批来确保我的运动是被允许的。

> -再次，“假如数据真的泄露”了，公司会在媒体甚至用户知道之前，就拿金条砸一批比我牛逼一百倍的人通宵加班把我挖出来，然后扔到法庭上把我活活虐死，确保我这辈子也别想再找到能碰计算机的工作。说不定连碰计算器都不行。

这多好啊，比乌托邦还美好。

说实话乌托邦挺蠢的