【微信支付商户安全系列】消失的退款

   　凭空消失的退款

　　11月15日，S市。

　　晚上7点了，老杨起身泡了杯茶，开始盘算今天的账目。

　　上次发现系统漏洞后，他谨慎了不少，每天都仔细核对「资金账单」和「系统记录」，生怕一不小心又被坏人钻了空子。

　　突然，一笔奇怪的退款引起了他的注意：一笔300多元的退款流水，但买家并没有申请退款，商城后台也没有操作退款记录。

　　这笔退款，就像在系统中凭空消失了一样。

　　老杨的手指轻叩着桌面，虽然数额不大，但总觉得有些蹊跷。他犹豫一会儿，还是联系了小黑。

　　“黑哥，我商城有笔莫名其妙的退款……”

　　奇怪的消息

　　“奇怪啊，商城没有任何黑客入侵的记录。发起退款申请的是个陌生IP，对方用了马甲伪装，也查不到真实的地址。没啥其他线索了……”

　　电话那头，小黑的声音头一回也显得有些困惑。他沉吟了一会，反问老杨道，“你没有收到什么奇怪的消息?”

　　这一提醒，老杨蓦地想起，前几天还真收到了一条消息：

　　当时正在开车，想着迟点看看，结果就忘了。

　　老杨赶紧把截图发了过去，小黑无奈地回复，

　　“哎呀我去，大哥，你的API证书和API密钥泄露啦!”

　　丢掉的钥匙

　　“你说什么，泄露?”老杨顿时紧张了起来。

　　小黑解释：“你的商城代码被上传到代码共享网站，里面有你的API证书和API密钥，应该是第三方技术团队忘记删掉了。”

　　“这和退款有什么关系?”老杨一头雾水。

　　小黑：“你的API证书被明晃晃地挂在网站上，谁都可以看到，就像你把家里的钥匙放在了大街上，坏人捡到就能进你家，打开你的保险柜，把你的家当都偷走。”

　　老杨马上慌了，“我该怎么办?”

　　小黑：“还好这次金额不大，坏人应该是在测试证书是否有效，钱退到买家那里了。你赶紧做下面这些事：

　　1.   联系商城的技术人员，删掉泄露信息的页面，让他不要把含有证书和密码的代码传到网上;

　　2.   旧的API证书和API密钥已经泄露，尽快登陆外部系统更换新的API证书和API密钥；

　　3.  明天和买家沟通，说是自己误操作，和他商量把钱退回来。

　　商城的身份证明

　　一番操作已是深夜，老杨约小黑吃宵夜求科普：

　　这个API证书和API密钥，到底是啥？

　　购物商城的付款、退款等功能，都是通过API发号施令，让外部系统完成操作。

　　那外部系统怎么知道是购物商城在发号施令呢?

　　这就要靠API证书或API密钥。

　　每次收到命令，外部系统都要通过API证书或API密钥核实身份，防止其他人冒充你商城进行操作。

　　安全风险及时防

　　为了帮老杨保护商城，小黑还总结了两句口诀：

　　1. 支付官方勤提醒，再忙也要看消息

　　微信支付联合腾讯安全平台部，为商家提供了安全增值功能——风险监控，可智能识别业务风险，保障商户财产安全。

　　商户号的超级管理员，要时刻关注支付官方的提醒，再忙也要看消息。(包括公众号、短信、邮件)

　　2. 先设安全联系人，再做打工人上人

　　超级管理员无法解决技术问题?

　　那超级管理员可设置安全联系人(建议为技术人员)，一起接收风险提醒，快速处理问题。

　　方式1：登录【微信支付商家助手小程序】，在【安全中心-风险监控-添加安全联系人】操作。

　　前往添加

　　方式2：登录【微信支付商户平台】，在【账户中心-安全中心-安全联系人】操作。

　　老杨听完获益匪浅，又想到一个问题：我们的API证书、API密钥都不得不交给第三方技术团队使用，有什么办法可减少风险吗?

　　小黑：当然有，且听下回分解。

　　END

　　上述故事纯属虚构。

标签： 微信支付 刷脸支付 刷脸支付代理加盟 刷脸支付代理 乐返卡 微信支付商户平台