相传，古罗马时期，凯撒大帝的妻子庞贝亚在家中与情夫幽会，被侍女撞见，消息传遍整个罗马，皇后被疑与另一男人有染，凯撒大帝被绿了！

法庭上，凯撒大帝称坚信其妻之贞操，但又坚决离婚。法官疑惑，既然你说皇后没有出轨，为何又偏要离婚？凯撒大帝答：皆因皇后之贞操不容质疑。之后他在法庭上为妻子庞培亚和绯闻情夫辩护，最后绯闻情夫被无罪释放，自己也离了婚。

这两天我的一个朋友（@P.Thomas Chen）在其朋友圈用凯撒大帝被绿的故事来形容 Uber 封口费事件，可谓相当精辟了。

去年11月， Uber 服务器被黑客攻入，5700 万条司机的隐私数据受威胁，为了息事宁人，Uber 的 CSO（首席安全官）当时并未公布这一事件，反而和黑客达成一致，支付 10 万元删除数据并要求保密。

谁料纸没包住火，东窗事发后，Uber 新任 CEO 科斯罗沙西不得不在媒体面前向公众道歉，积极认错，开除涉事人员并善后。事情一出，公众和媒体都开始猛烈抨击 Uber，质疑首席安全官和当时在任的 CEO 卡兰尼克的人品。好在还没上市，否则买了他们股票的多半要倒霉。

其实在这个故事里，Uber 的 CSO 是皇后，他需要将“绝对安全”，也就是“绝对的贞操”当做对于 CEO 或董事会这个帝王，以及民众的承诺，把自己的安全工作当做“皇后的贞操”不容他人质疑。既如此，必定羞于承认自己的不足。

诶？好像所有公司都差不多如此呢？

周二，Uber 公司 CEO 科斯罗沙西宣布：

去年被盗的 5700 万用户数据包括 5000 万名 Uber 乘客的姓名、电邮地址和手机号码， 700 万名 Uber 司机个人信息。

但是，社保账号、信用卡信息细节、出行位置信息等其它数据并未泄露。

Uber 表示，他们相信，这些泄露的信息从未被使用过，但拒绝披露攻击者的身份。潜台词就是说，他们相信那个攻击了他们的黑客还是很靠谱，说话算话，不会外泄。

把“皇后的贞操”的故事情节换一换就很好理解这事。

倘若撞见皇后和情夫幽会的不是侍女，而是凯撒大帝本人，同时他还确信其他人不知道。他该选择大闹一场，上演浸猪笼杀情夫的戏码，让全国所有百姓知道自己的皇后不守贞操，皇帝被绿了？还是关上门来私下解决，开出条件让绯闻情夫封口，甚至想办法让他永远张不开嘴？

小孩子才管对错，大人只看利弊，凯撒大帝是个大人，商业社会也是大人的社会。如果不考虑被绿之后的愤怒，单权衡利弊，不少人冷静下来后都会选择后者。

支撑商业行为的都是商业逻辑，说白了主要是钱。不光是 Uber ，每个公司的 CEO、CTO、CSO 都面临这样的困境，公司迅速发展，安全通常滞后于增长，数据泄露等安全问题往往突如其来，就像发现自己被绿了一样猝不及防，这时他们会立刻陷入矛盾，既然用户数据已经泄露没法挽回，在这个基础上，是报警并公开起诉黑客，将事情公之于众，还是关上门来私下解决？

我上学那会儿接触过一门学科叫“安全经济学”，讲的是传统工程（比如煤矿、工地、工厂等）安全活动的经济规律。俗一点说，就是研究怎么用最少的钱，把安全风险控制在合理范围内。这事挺矛盾，投多少防护设备能确保矿上不出事故不死人？没底。一旦矿上或工地死了人，人命关天啊！这就和网络安全的逻辑有点类似。

不少网络安全圈里的朋友总说安全的价值无法衡量，其实是句正确的废话。矿上死了人，都人命都关天了，最后还得算经济账，依照规定赔几十到上百万不等。用户数据安全确实无比重要，可是前期投入多少钱，出了事要用多少钱来填坑，安全部门要干活要汇报，最后这些在企业里都只是一笔经济账罢了。

Uber 的涉事 CSO 曾在联邦检察院和 Facebook 担任过安全职务，那他必然深知其中利害，然而，他选择花钱封口。或许他心里曾经有过个这么一笔经济账：

数据泄露事件曝光对公司产生的影响（A） × 被曝光的概率（B） = 事情被曝光的损失数学期望 （C）；

黑客的封口费（X）+ 其他消除影响措施费用（Y）= 消除影响总费用（Z）

C 远大于 Z，所以选择第二个方案，净赚。

当时 Uber 的 CSO 内心一定非常矛盾纠结，5700 万个人信息泄露事情闹大，Uber 不仅要遭受有关部门的巨额罚款，还会对公司产生巨大影响。并且，由于主要原因是技术人员犯了低级失误，把账号密码公开在代码托管网站 Github 里，那必然有关人员也收到牵连，自己也要承担管理责任，现在用小小10万美元摆平事件，息事宁人，无事发生。

资本逐利，商业社会是大人的社会，大多数时候，每个公司都有这么一笔经济账。

比如，投入了一笔安全费用，它能降低多少安全事故发生的概率或者减少多少损失，这是要有衡量的，并且，它弥补的潜在损失要大于投入费用本身，否则干嘛要用呢？

再比如，企业的SRC （安全应急响应中心）从白帽子那里收到一个漏洞报告，奖励几百到到几十万元不等，SRC其实也一定有一笔账，他们会权衡漏洞可能产生问题的概率，评定可能产生的效益和社会影响，最后算出来的数额，一定远远超过给到白帽子手里的钱。不然成立 SRC 干嘛呢？

只能说，这次 Uber 赌输了，Uber 的 CSO 千算万算也没想到，前任CEO卡兰尼克辞职下台，新任CEO上任时的财务审计，发现了这笔去向不明的10万美金。（以上东窗事发的原因为网友推测，并非事实）

虽然“情夫”收了封口费后缄默不语，但皇后怀孕被医生发现。一步疏忽满盘皆输。

用经济学原理来解释，就是 Uber 当时低估了事件曝光概率做出了错误判断，选择侥幸。这种侥幸心理在以往大多数公司都存在，这也是网络安全早期不受重视的主要原因。

以五十步笑百步，则何如？与其看 Uber 的热闹，不妨想一想，企业担心用户数据泄露，是真的关心用户利益，还是担心事情曝光后自身利益受到损害？如果是后者，那是不是息事宁人的做法还不少呢？

这种事该怎么解决，自然有相关法律法规，轮不到我来瞎BB。但我知道，但凡公民利益受到损害，比如一个工地或煤矿出事死了人，一定先判定是不是责任事故，是不是因为有人在生产、作业中违反有关管理规定导致，管理人员是否起到监管指责，然后该处罚的处罚，该停业整顿的整顿，该坐牢的坐牢。

但不管怎样，安全是始终是个用风险和后果来计量的经济账。

一些白帽子提交漏洞时，觉得漏洞不仅要修补，还应该公开，以让更多公司重视安全，这是他们心中的正义，我很钦佩，真的。但我也奉劝他们保护好自己，毕竟你认为自己秉持正义时，在对方那儿不过是笔经济账。

互联网时代的安全需要整体协作才能完整。既然白帽子要和企业合作提升安全而不是为敌，那就得双方达成一致的方式来做，否则迟早打起来。

Uber 被辞退的 CSO 做得做得不对，不正义，但确实是全球众多公司的缩影。皇后的贞操被绿了怎么办？当然选择原谅她啊！只是这次东窗事发，检察院和公众都不会选择原谅。

Uber 被绿了这事真不好笑，谁家没有皇后的贞操？

---

以上仅谢幺一家之言，浅黑科技概不负责，欢迎留言讨论（要喷就喷他！他的个人微信号是 dexter0 ）