几年前，我提交了一个漏洞：几百万机票火车票订单用户名明文密码泄露。
 
邮箱，用户身份证，姓名，密码，手机号等重要字段都可以直接明文读取，当时是利用mongodb数据库的未授权访问脚本，稍加修改，批量扫描后发现的漏洞，有国内多家科技媒体跟进报道，搞得我压力也很大，因为数据没有泄露，只是存在漏洞被我提交到360。
 
这种就属于未能遵循简单基础的安全原则，锅可以由商家背。
 
 
但很多情况，锅不能简单地由商家背。因为这个世界不存在没有漏洞的系统，很多基础的开源的协议或者软件本身存在着大量的漏洞，在没有被发现之前，它们被认为是安全的。但一旦被发现有漏洞，影响巨大。