近期接到幾位淘寶網店鋪賣家的咨詢�,主要內容是對開放平臺上的某些店鋪應用心存疑慮����,擔心在使用了這些服務之后�,會使自己的店鋪敏感信息外泄��。通過調查���,我發現這些擔心并不多余����。淘寶網的賣家應用平臺���,確實存在一定的安全隱患���,一旦時機成熟���,或許會引爆大規模數據外泄事故���,給很多淘寶網店鋪造成滅頂之災�����。
淘寶網開放平臺是2009年9月上線的�����,開發者可以開發一些應用�,通過應用平臺上架�����,供店鋪賣家下載使用��。通俗地說�����,淘寶是個大電商平臺�����,提供的是基本服務�����,但賣家總會有一些淘寶網滿足不了的個性化需求存在����,這正是那些賣家應用存在的基礎��。
一個互聯網平臺實行開放策略����,引進第三方服務和軟件提供商參與進來���,對完善平臺的功能�,實現更良好用戶體驗非常重要�����。也正因為如此��,大的平臺都是或多或少實行開放策略��,聚合中小開發者對平臺加以完善��,例如新浪微博��,運行在這個平臺上的第三方應用達到了20萬款�。從表面來看��,淘寶網也實行這種開放平臺策略���,似乎問題不大����。但是�����,問題出在兩種業務的本質屬性不同�����。
淘寶網開放平臺上的應用����,與新浪等開放平臺上的應用有本質區別�。以新浪微博為例�����,應用接入后����,會讀取使用者的粉絲數�、好友關系�����、地理位置等數據�,而淘寶網上的賣家應用���,讀取的則是營銷活動�����、商品信息���、訂單��、評價及退款等數據��。這兩種數據的重要程度��,本身就是截然不同的�����,一個是用戶個人社交身份信息�,一個是賣家經營活動的具體信息��,一個是不涉及錢的個人信息��,一個是能直接影響到經濟利益的商家信息�����。這兩種數據��,本質上應采取不同的安全保護級別�,正如有很多人會掌握大量電話號碼�,但一定不該有很多人掌握大量的銀行賬號信息一樣�。
淘寶網賣家應用平臺上目前有應用1.25萬個�����,共分為14個大類�����,53個小類�����,服務內容從店鋪裝修���、流量推廣���、商品管理����、訂單管理直至物流管理等�。這些應用大多為免費��,賣家可以很容易地下載使用����,需要增加功能時可按需付費����,但大多數使用者是不愿意付費的��。
目前使用數排行前20的應用中���,有4款是淘寶官方開發的��。其中����,量子恒道�、支付服務和淘寶旺鋪這三款應用�����,居應用榜前3�,使用人數分別為265萬����、119萬和100萬�����。另一款官方開發的應用為居第6位的圖片空間��,使用人數為64萬��。除了這4款應用���,其余16款應用全部為第三方開發者提交�����,使用人數最高為75萬�,最低為25萬�。在這個平臺上��,超過10萬人使用的應用�����,已有100多款�,絕大多數是第三方開發者提交的�。
據一位接近淘寶網的人士向我透露��,目前開發者通過出售應用與服務賺取收益非常困難�����,多數使用者并不愿意交費�,而是更青睞于試用方式�����。與此同時���,也有相當一部分開發者已轉換了發展思路����,并不指望通過正常路徑獲取收益了���,而是通過低價甚至是完全免費方式吸引更多賣家試用��,目的是盡可能多地獲取試用者店鋪所有會員信息和敏感數據�,之后再將數據出售以獲取暴利���。
淘寶網設置的應用使用規則安全等級較低����,只要賣家使用或者試用了��,應用開發者就能獲取該店鋪所有交易信息�,包含會員詳細信息�,聯系方式��,購買信息��,交易信息等等��。而從賣家這個角度而言����,他們大多對技術原理并不熟悉��,對規則也并不清楚�����,往往會在不經意間的一次試用過程中����,在毫不知情的情況下�����,將寶貴的店鋪數據泄露給第三方���,從而給自己的經營帶來潛在風險�。
目前在淘寶應用平臺的開發商��,多是小規模的公司和初創公司����,甚至還有些是個人開發者�����。整體而言�,如果堅持正常的商業模式不跑偏���,這個行業暫時還是無利可圖的����,但該行業進入門檻卻很低��,規則很不完善��,參與者魚龍混雜���,存在很大的風險��。事實上��,一個以淘寶網店鋪為基礎的電商數據黑市�,已開始冒頭了����,已有不少人在通過這種旁門左道的方式默默獲取暴利��。甚至有一些賣家自己��,也會從應用開發者那里購買競爭對手店鋪的詳細會員信息���。
應該說�����,淘寶網本身對這個情況也是有察覺的�。淘寶網有店鋪600萬家�,活躍店鋪為12%�����,即70萬家���,如果一個應用有50萬賣家使用�����,那幾乎就涵蓋了80%有交易的賣家���,這對于淘寶而言也是巨大的風險��。更何況����,那些應用開發商都是小公司��,如果是小而美的公司倒也罷了����,萬一是不可控的小而丑公司���,那該怎么辦����?
在這個背景下����,去年7月阿里云聯合淘寶和天貓推出了聚石塔平臺����,為天貓和淘寶平臺上的電商及電商服務商提供IT基礎設施和數據云服務�。應用開發者需要將應用產生的數據庫���,存放在這個平臺里�,而不是像以往一樣放在自己手里��。對淘寶而言��,既可以通過出售數據庫服務獲利���,又可以確保數據安全�,看上去是個兩全其美的方案����,但現實情況并非如此�����。
首先�����,應用開發商即便將數據庫放在聚石塔里�,也可以直接通過數據導出和數據庫遷移等方式�,將數據拿出來���。其次����,還有很多應用開發者根本就不把數據庫放在聚石塔里���,而是低成本自建數據庫�����,對數據實施完全掌控��。淘寶網對應用開發商是否購買聚石塔服務非常嚴格��,不購買不給權限����,不予通過審核��,而對于開發商購買服務后是否使用服務��,監督力度則小得多了��。
很多應用開發商只是購買聚石塔的服務�,卻并不將數據庫放進去���,也就是說����,花錢只為了得到權限�,通過審核���,之后該怎么干還怎么干�,絲毫不受影響���。阿里巴巴在這個問題上��,更多表現出的是對自身數據變現的重視���。聚石塔從表面而言做得很成功�����,商業價值能得到一定程度的體現���,但作為其初衷之一的防范數據外泄問題�,則并沒有得到根本解決�。
淘寶系是電商第一平臺�,也是距離實體經濟最近的一種互聯網平臺����,這與那些靠增值服務獲取收益的平臺有本質不同�。如果任由敏感交易信息形成地下黑市���,并發展到不可控的狀態��,不但店鋪賣家的生意將遭受挫折���,這對淘寶系本身的安全也是有極大風險的����。
淘寶應用開發平臺應采取更嚴格的數據保護政策���,而不應在安全方面與電商之外的大眾應用平臺看齊�。試想��,一個小賣家辛苦經營數年積累了上千買家資源�����,本可以從中獲取應有的商業價值����,卻突然發現自己的這些買家被別人拉走了�����,競爭對手對自己的情況了如指掌����,這對他而言會是多么大的挫折���。
泰山不避細壤,故能成其大��,淘寶系本身就是由無數小賣家組成的一個大事業�,每個賣家的利益都該得到保障����,淘寶系才能得以存在并長盛不衰�。在發展的問題上���,一味追求經濟利益而罔顧其他�����,是相當短視的行為�����。不要等問題集中爆發了�,才去亡羊補牢��,鉆進互聯網這個羊圈的狼���,是絕不會一次只吃一只羊的���,到時給不給你留下修補羊圈的機會�����,都會是個問題����。
本文章來源于:東莞天貓運營資訊網