【商户安全系列】消失的退款

发布时间:2020-11-18 12:15:10 作者:乐享科技 来源:本站 浏览量(249) 点赞(68)
摘要:凭空消失的退款11月15日,S市。晚上7点了,老杨起身泡了杯茶,开始盘算今天的账目。上次发现系统漏洞后,他谨慎了不少,每天都仔细核对「资金账单」和「系统记录」,生怕一不小心又被坏人钻了空子。突然,一笔奇怪的退款引起了他的注意:一笔300多元的退款流水,但买家并没有申请退款,商城后台也没有操作退款记录。这笔退款

凭空消失的退款

11月15日,S市。


晚上7点了,老杨起身泡了杯茶,开始盘算今天的账目。


上次发现系统漏洞后,他谨慎了不少,每天都仔细核对「资金账单」和「系统记录」,生怕一不小心又被坏人钻了空子。


突然,一笔奇怪的退款引起了他的注意:一笔300多元的退款流水,但买家并没有申请退款,商城后台也没有操作退款记录。


这笔退款,就像在系统中凭空消失了一样。


老杨的手指轻叩着桌面,虽然数额不大,但总觉得有些蹊跷。他犹豫一会儿,还是联系了小黑。


“黑哥,我商城有笔莫名其妙的退款……”


奇怪的消息

“奇怪啊,商城没有任何黑客入侵的记录。发起退款申请的是个陌生IP,对方用了马甲伪装,也查不到真实的地址。没啥其他线索了……”


电话那头,小黑的声音头一回也显得有些困惑。他沉吟了一会,反问老杨道,“你没有收到什么奇怪的消息?”


这一提醒,老杨蓦地想起,前几天还真收到了一条消息:


当时正在开车,想着迟点看看,结果就忘了。


老杨赶紧把截图发了过去,小黑无奈地回复,

“哎呀我去,大哥,你的API证书和API密钥泄露啦!”


丢掉的钥匙

“你说什么,泄露?”老杨顿时紧张了起来。


小黑解释:“你的商城代码被上传到代码共享网站,里面有你的API证书和API密钥,应该是第三方技术团队忘记删掉了。”


“这和退款有什么关系?”老杨一头雾水。


小黑:“你的API证书被明晃晃地挂在网站上,谁都可以看到,就像你把家里的钥匙放在了大街上,坏人捡到就能进你家,打开你的保险柜,把你的家当都偷走。”

老杨马上慌了,“我该怎么办?”


小黑:“还好这次金额不大,坏人应该是在测试证书是否有效,钱退到买家那里了。你赶紧做下面这些事:


1.   联系商城的技术人员,删掉泄露信息的页面,让他不要把含有证书和密码的代码传到网上;

2.   旧的API证书和API密钥已经泄露,尽快登陆外部系统更换新的API证书和API密钥;

3.  明天和买家沟通,说是自己误操作,和他商量把钱退回来。


商城的身份证明

一番操作已是深夜,老杨约小黑吃宵夜求科普:

这个API证书和API密钥,到底是啥?


购物商城的付款、退款等功能,都是通过API发号施令,让外部系统完成操作。


那外部系统怎么知道是购物商城在发号施令呢?


这就要靠API证书或API密钥。

每次收到命令,外部系统都要通过API证书或API密钥核实身份,防止其他人冒充你商城进行操作。


安全风险及时防

为了帮老杨保护商城,小黑还总结了两句口诀:

1. 支付官方勤提醒,再忙也要看消息

微信支付联合腾讯安全平台部,为商家提供了安全增值功能——风险监控,可智能识别业务风险,保障商户财产安全。


商户号的超级管理员,要时刻关注支付官方的提醒,再忙也要看消息。(包括公众号、短信、邮件)


2. 先设安全联系人,再做打工人上人

超级管理员无法解决技术问题?

那超级管理员可设置安全联系人(建议为技术人员),一起接收风险提醒,快速处理问题。

方式1:登录【微信支付商家助手小程序】,在【安全中心-风险监控-添加安全联系人】操作。

前往添加


方式2:登录【微信支付商户平台】,在【账户中心-安全中心-安全联系人】操作。


老杨听完获益匪浅,又想到一个问题:我们的API证书、API密钥都不得不交给第三方技术团队使用,有什么办法可减少风险吗?


小黑:当然有,且听下回分解。


二维码

扫一扫,手机浏览更方便

感兴趣吗?

欢迎联系我们,我们愿意为您解答任何有关网络营销疑难问题!