微盟事件致市值蒸发超10亿，SaaS风口安全预警

　　原标题：微盟事件致市值蒸发超10亿，SaaS风口安全预警

　　2月25日，微盟集团（SEHK：02013）发布公告称，Saas生产环境及数据遭到员工“人为破坏”导致公司当前暂时无法向客户提供SaaS产品。犯罪嫌疑人是微盟研发中心运维部核心运维人员贺某，于2月23日晚18点56分通过个人VPN登入公司内网跳板机，因个人精神、生活等原因对微盟线上生产环境进行了恶意破坏。

　　此次事故具体给微盟SaaS业务带来怎样的影响有待进一步估算，但给商家用户已造成不可挽回的损失。一位商家表示：微盟系统崩溃后，已售出的几百万元提货卡无法提货，“客户说我是骗子，微盟销售说是腾讯出问题，腾讯修复又不可能这么慢。店铺数据如果都没了，我的损失该怎么办？”目前，贺某已被刑事拘留，并承认犯罪事实。

　　受删库事件影响，微盟股价24日出现下跌，市值一日之内蒸发约12.53亿港元。之后，随着生产环境和数据的修复，今日收盘，微盟股价涨4.22%至6.18港元，总市值138.3亿港元。

　　员工删除数据库

　　2020年2月23日19：00左右，微盟集团监控系统发出警报，获悉SaaS业务服务出现故障，随后微盟集团召集相关技术人员进行排查。该故障使得大面积服务集群无法响应，生产环境及数据遭受严重破坏。官方回应称，因数据遭员工人为破坏，完全恢复需2月28日24点。

　　微盟方面表示，经查发现微盟集团研发中心运维部一位核心运维员工贺某，于2月23日晚18点56分，通过个人VPN登入公司内网跳板机，对微盟线上生产环境进行恶意破坏，直接导致微盟集团大面积的服务集群无法响应，生产环境及数据遭受严重破坏。

　　在发现Saas生产环境及数据遭到贺某恶意破坏后，微盟集团对贺某进行追踪分析，定位到登录账号及IP地址，并于2月24日向宝山区公安局报案，目前贺某已经被宝山区公安局进行刑事拘留，贺某承认犯罪事实。据微盟集团公告显示，贺某是因个人精神和生活原因做出了上述不当行为。

　　据微盟集团公告指，截至2月25日早上7点，微盟集团的SaaS生产环境和数据修复在有序推进。预计老用户的数据修复将可在2020年2月28日晚上24：00前完成，在此之前将提供临时过渡方案。另外，针对此次受到不同程度影响的商户，微盟集团正拟定相关赔付方案来补赔偿。

　　作为香港主板上市公司，微盟成立于2013年4月，是提供零售、广告等线上业务的 SaaS 服务商，也是腾讯系的合作伙伴。事故发生后，恰恰瓜子、自然堂、卡宾等客户商家小程序电商均处于无法打开的状态。

　　今日腾讯云发布回应称，微盟运维事故发生后，腾讯云技术团队第一时间与微盟对其，研究指定嘱咐方案，尽最大努力协助微盟降低损失。一位接近腾讯人士对第一财经透露，相关技术团队已经通宵两晚协助微盟。

　　一位科技从业者对第一财经记者说，运维数据应该是有权限的，但目前尚不清楚为何微盟内部人员能够将主备进行删除。据第一财经记者了解，数据恢复还需要交由专业公司来进行恢复。

　　一位业内人士对第一财经记者表示，因为内部员工恶意破坏致使整个集团系统被破坏乍听起来很“玄”，但实际在业内时有发生，其之前接触过多家中小企业，均发生过因企业内部纠纷而使其在离职后或将离职时，采取删除数据、破坏系统等激进行为。 但同时他也表示，作为一家上市公司，微盟如此大体量集团竟发生这样的事故也的确是第一次听说。

　　另据来也科技董事长兼CEO汪冠春对第一财经记者表示，针对类似微盟事件，来也内部一直在技术机制与企业文化上严格强调，包括数据安全、研发技术安全等，“但机制再完善也难免百密一疏，企业必须在文化上让员工对自身的道德底线有所要求。”

　　风口遭冷水

　　疫情期间，SaaS行业逆风爆发，但微盟事件直接给商家与用户迎面泼来冷水——线上数据与信息安全并不是百分百受保障，一旦发生事故也并非完全可恢复。

　　微盟集团公告称，目前预计SaaS生产环境和数据破坏将会对本集团SaaS业务营运带来一定的负面影响，但不预计会影响本集团其他板块的业务。可以预见的是，此次突发事件将对微盟集团利润与收入造成直接影响。

　　微盟财报显示，其收入结构中SaaS业务是第二大主营业务。截至2019年6月30日，SaaS业务收入为人民币2.191亿元，约占收入总额33.4%；SaaS业务毛利润为人民币1.77亿元，约占毛利润总额48.5%。

　　上文所述不具名人士对第一财经记者表示，在行业内刚创业时，遇到过部分客户面临这种挑战——系统出现故障后，只能通过人肉恢复系统与数据，很辛苦。而如今的技术发展，很多底层技术方案提供商已经可以帮助客户对云主机及数据库进行备份，做好容灾、备灾等准备。他称，不同规模企业在发展的不同阶段应对安全问题时，会进行不同程度的准备——如刚创业时的中小企业自然是将发展规模放在第一位；但当企业规模扩大、服务的客户量级提高后，安全防护工作也应放在重要位置，相对应的，也意味着公司在安全支出方面的成本要有所提高。

　　互联网技术专家赵成针对此事件在其个人公号《成哥的世界》分析称，微盟此次故障被破坏最严重的就是生产系统的数据库，且一定是核心库。很大可能是该员工直接做了rm -rf或fdisk这样基本不可逆转的文件删除操作，更极端的可能是将主备一起删除了。

　　从事故爆发到现在，微盟事件已经发生了超过36个小时仍未得到解决，赵成分析称，有几个可能——第一，微盟方面没有备份，只能从磁盘文件系统维度恢复，那一定会非常慢；第二，有备份，但备份恢复不了，也就是备份文件不可用，那只能从磁盘文件恢复；第三，有全量备份，但无增量备份，全量可能是一个月、一周，三天等，差几天的数据一样会给客户造成极大损失。从微盟这次恢复这么长时间推算，这次故障一定是这个操作者做了非常极端的删库操作，而且还没有可快速恢复的备份，耗时超长就不难想象了。

　　无论如何，此次微盟事件对中小微商家以及SaaS行业均造成负面影响。上述匿名业内人士对第一财经记者表示，目前腾讯云方面表示在协助抢救，但也是基于云主机上云厂商抢救而进行恢复，其中存在很大偶然性，即所有数据信息不一定能恢复回来，当然，能抢救一点是一点。

　　上云藏挑战

　　面对疫情期间爆发的SaaS需求，UCloud优刻得创新趋势部总监蒋剑彪对第一财经记者表示，疫情中主动与SaaS行业客户沟通发现，他们有许多实际运营中的困难，如很多SaaS厂商受下游行业萎缩的影响，面临线下获客和拓展市场的困难；部分在线办公SaaS厂商虽短期内需求激增，但他们推出针对用户的免费计划，实际收入大幅下降，成本却大幅提升，由于SaaS企业必须持续为用户提供服务，他们不得不背负沉重的成本负担穿越疫情周期。

　　蒋剑彪称，SaaS由于疫情来到了窗口期，但实际上企业经营情况并非外界看起来那么好，尤其涉及到中小SaaS厂商，现金流非常薄弱。

　　不久前，包括百度智能云、UCloud、蓝猫微会等238家企业签署发布《来自SaaS行业的一封公开信》，称疫情对全国经济的影响已深刻波及到SaaS行业，作为数字化浪潮时代的新兴产业，大多数SaaS企业都处在创业的攻坚阶段，技术创新层面投入巨大。这场突如其来的疫情正令创业者面临双重凶险：在线化经营需求的爆增触发空前的运营成本压力；而每一家企业个体必须独自承担既定战略停摆、未来6个月各项规划收入大幅萎缩的残酷现实。

　　除此之外，蒋剑彪称，传统线下商家转线上仍有担忧顾虑——担心数据被SaaS厂商拿走或者泄露；SaaS产品并不符合企业实际业务的需求；某些功能过于模板化而不够定制化；员工接受度不高，难于推广上手使用等；背后的云服商不够稳定，使用容易出问题等；另外，目前的办公软件等觉得够用了，不想折腾用新的SaaS产品；种种顾虑，使很多线下企业在面临线上转型时止步不前。

　　蒋剑彪对第一财经记者表示，随着企业上云趋势愈发明显，安全防护工作也应随之提上日程，具体包括主动安全与被动安全。主动安全级别需更高，企业要有意识地做好容灾备份，做好应用层防护，以及内部员工权限管理等；被动安全如购买数据保护服务等，但这就是最后一道保护关卡了。

　　微盟公告中表示，预计2月25日24时前生产环境将修复完成，微盟所有新用户将可恢复服务，老用户由于数据修复时间问题，将提供临时过渡方案，预计老用户数据修复可在2月28日24时前完成。

　　微盟表示，正在拟定相关赔付方案来补偿此次事故而遭受损失的商家，“对此次因人为造成的事故灾难无比愧疚，今后将一定吸取这个惨痛的教训，加强对线上运维的治理。”