凭空消失的退款
11月15日,S市。
晚上7点了,老杨起身泡了杯茶,开始盘算今天的账目。
上次发现系统漏洞后,他谨慎了不少,每天都仔细核对「资金账单」和「系统记录」,生怕一不小心又被坏人钻了空子。
突然,一笔奇怪的退款引起了他的注意:一笔300多元的退款流水,但买家并没有申请退款,商城后台也没有操作退款记录。
这笔退款,就像在系统中凭空消失了一样。
老杨的手指轻叩着桌面,虽然数额不大,但总觉得有些蹊跷。他犹豫一会儿,还是联系了小黑。
“黑哥,我商城有笔莫名其妙的退款……”
奇怪的消息
“奇怪啊,商城没有任何黑客入侵的记录。发起退款申请的是个陌生IP,对方用了马甲伪装,也查不到真实的地址。没啥其他线索了……”
电话那头,小黑的声音头一回也显得有些困惑。他沉吟了一会,反问老杨道,“你没有收到什么奇怪的消息?”
这一提醒,老杨蓦地想起,前几天还真收到了一条消息:
当时正在开车,想着迟点看看,结果就忘了。
老杨赶紧把截图发了过去,小黑无奈地回复,
“哎呀我去,大哥,你的API证书和API密钥泄露啦!”
丢掉的钥匙
“你说什么,泄露?”老杨顿时紧张了起来。
小黑解释:“你的商城代码被上传到代码共享网站,里面有你的API证书和API密钥,应该是第三方技术团队忘记删掉了。”
“这和退款有什么关系?”老杨一头雾水。
小黑:“你的API证书被明晃晃地挂在网站上,谁都可以看到,就像你把家里的钥匙放在了大街上,坏人捡到就能进你家,打开你的保险柜,把你的家当都偷走。”
老杨马上慌了,“我该怎么办?”
小黑:“还好这次金额不大,坏人应该是在测试证书是否有效,钱退到买家那里了。你赶紧做下面这些事:
1. 联系商城的技术人员,删掉泄露信息的页面,让他不要把含有证书和密码的代码传到网上;
2. 旧的API证书和API密钥已经泄露,尽快登陆外部系统更换新的API证书和API密钥;
3. 明天和买家沟通,说是自己误操作,和他商量把钱退回来。
商城的身份证明
一番操作已是深夜,老杨约小黑吃宵夜求科普:
这个API证书和API密钥,到底是啥?
购物商城的付款、退款等功能,都是通过API发号施令,让外部系统完成操作。
那外部系统怎么知道是购物商城在发号施令呢?
这就要靠API证书或API密钥。
每次收到命令,外部系统都要通过API证书或API密钥核实身份,防止其他人冒充你商城进行操作。
安全风险及时防
为了帮老杨保护商城,小黑还总结了两句口诀:
1. 支付官方勤提醒,再忙也要看消息
微信支付联合腾讯安全平台部,为商家提供了安全增值功能——风险监控,可智能识别业务风险,保障商户财产安全。
商户号的超级管理员,要时刻关注支付官方的提醒,再忙也要看消息。(包括公众号、短信、邮件)
2. 先设安全联系人,再做打工人上人
超级管理员无法解决技术问题?
那超级管理员可设置安全联系人(建议为技术人员),一起接收风险提醒,快速处理问题。
方式1:登录【微信支付商家助手小程序】,在【安全中心-风险监控-添加安全联系人】操作。
前往添加
方式2:登录【微信支付商户平台】,在【账户中心-安全中心-安全联系人】操作。
老杨听完获益匪浅,又想到一个问题:我们的API证书、API密钥都不得不交给第三方技术团队使用,有什么办法可减少风险吗?
小黑:当然有,且听下回分解。
END
上述故事纯属虚构。
标签: 微信支付 刷脸支付 刷脸支付代理加盟 刷脸支付代理 乐返卡 微信支付商户平台
还木有评论哦,快来抢沙发吧~