黑客入侵!1500个亚马逊用户的钱被盗
今日,亚马逊卖家都因为MWS的授权事件纷纷都炸锅了,也有不少易麦宝用户向我们表示了他们的担忧。
经过了解,发现部分卖家确实是因为MWS的问题店铺被暂时禁用,如下:
Your Amazon Seller account has been temporarily deactivated.
Why is this happening?
Your Marketplace Web Services (MWS) credentials have been used by a third party service. You have failed to maintain the secrecy and security of your MWS credentials as required by section 2.4 of the MWS Service Terms. Section 2.7 of the MWS Terms also prohibits you from disclosing any MWS Transactional Information or Personal Information to a third party for any purpose.
这个问题的原因主要是是一些第三方服务商违背了MWS 2.4和MWS 2.7条款中规定的内容。
MWS 2.4内容规定卖家需要保护自己的MWS账号和密码
MWS 2.7内容规定第三方服务商不能违规使用卖家的MWS账号和密码
目前出问题的卖家店铺:
(1)使用了直接访问模式的软件服务商,而非授权模式。
直接访问模式要求输入AWS ACCESS KEY ID和SECRET KEY,拥有全部访问权限,服务商是否做了违规操作卖家无从知道,亚马逊也很难查;而授权模式要求输入授权码MWS Auth Token,任何违规行为都会被监控记录,是安全的模式。
(2)MWS的账号被服务商滥用,做了违规操作。
在这边讲详细一点:
主要的违规授权有两种方式:其一为向服务商提供账号密码或子账号账号密码,如果该服务商使用了风险IP登录便会导致账户关联;另一种方式为向服务商提供自有店铺的MWS接口密匙,样式如下:
Seller account identifiers for 卖家名称
Seller ID:A2CXBBBRJXXXXX
Marketplace ID:
ATBPRKIKXXXXX
Developer account identifier and credentials
Developer Account Number:8880-9999-0880
AWS Access Key ID:
AKWAIZEEVACGGGGGGYNA
Secret Key:
Gh2h0sntFENdIOw1R/yrpuTp888fqwert56yuio2
上述信息如果提供给服务商,服务商便可以获取店铺的永久的MWS全部接口权限,且不可撤销,这也就是违反了MWS服务条款2.4。尽管他们告诉你,已经停用,但他们依然可以随时再调取接口。
因此:
1. 上述各项信息尤其标红的Secret Key不要在任何情况下提供给任何第三方,正规授权是不需要Secret Key的!
2. 正规授权是一定需要指定授权给某位开发者的(类似于8880-9999-0880这样的开发者编号),而后系统才会生成Auth Token用于该开发者获取授权,且卖家在后台随时可撤销。
3.
4. 目前各服务商已经开始出现不同程度的【乱咬】,不管大家用的是什么软件,只要看上面的信息,就知道是谁在违规了。
对于已经中招的卖家,需尽快激活账户:
对于没有中招的卖家,在选择软件服务商时一定要选择长期稳定有官方资质的合作伙伴。
易麦宝一直与亚马逊美国两大接口技术团队有深度联系,是亚马逊MWS和Adversting两大接口的官方服务商,对接模式均采用授权模式,我们数据请求和处理符合亚马逊规定的标准。
因此在这边,郑重告诉大家:放心使用。易麦宝会密切关注这件事情,并与卖家站在同一战线。
我们建了一个亚马逊卖家交流群,里面不乏很多大卖家。
现在扫码回复“ 加群 ”,拉你进群。
热门文章
*30分钟更新一次
