我經歷過的「漏洞刷單」

02-11

其實是一件小事。

以前在某支付公司的時候，有一次公司搞在線運營活動，在線抽獎，獎品是一部手機。但寫代碼的工程師很秀逗，判斷條件用 = 0 做的邊界判斷 (後來才知道)… 然後並發沒控制住，等到發現的時候，都抽出去幾百部手機了。我因為測試，也抽到了一部，工程師里很多都參與了活動，很多人都抽到了。後來想想不對，就跟公司 HR 說了，說抽獎我抽到了，但好像是系統出了問題。

然後 HR 跟我說，幸虧你跟我說了，要不真以為你們工程師在鑽空子… 言外之意… 當時我也是一身冷汗，其實抽獎的時候就是為了好玩兒而已。雖然不是惡意利用漏洞，但也會被揣測明知漏洞而使用，而且，真的上綱上線，你是說不清的。因為動機不可解釋。

後來不知道怎麼對外做的解釋，要是每個人都給的話，幾百萬人民幣的成本。估計也有人鬧。好在這樣的運營活動公司都有解釋權。

經朋友提醒，那位程序員好像是外包公司的。但確實是一個不應該的錯誤。

搶月餅的事兒，從公司角度看也沒錯。另外，尤其要想一下，這或許也未必是孤立事件，如果屢次有類似的事情發生，其他員工自然會鬧，質疑公平性。公司下一次狠手也可以理解。

從 HR 和管理者角度看，做的也沒錯，但這樣做會產生糟糕的結果，尤其是外界對公司的質疑和批評。那麼，這是個不合適的管理舉措。

我們也應該知道年輕工程師有時候做事頭腦衝動未必考慮那麼多後果，在我看來，即使被開除，也算不上什麼污點，對職業生涯影響不會很大，有個教訓罷了。

都寬容一點。