引言 长期混迹于亚马逊卖家群的小编见识过各种匪夷所思的事情,但近日被某位卖家发布的一则消息震惊到了……
长期混迹于亚马逊卖家群的小编见识过各种匪夷所思的事情,但近日被某位卖家发布的一则消息震惊到了:
警惕****!
各家网红与媒体可以跟进了。
震惊的同时小编一脸懵逼,这个事情真的有那么严重吗?
小编随即就这个店铺授权会产生的安全性问题调查了不少卖家,原来卖家所说的“API”是亚马逊账号的secret key。卖家表示还是很介意第三方获取卖家API账号后产生安全问题这个事情的,很多卖家就是因为这个原因迟迟没有给第三方提供API……
这些第三方“要账号”后接下来会做什么事情呢?卖家给了API后,对方就可以篡改产品Listing、修改商品价格、搜集后台数据……小编最不擅长以用最坏的心思去揣摩人心,但API授权一旦授权是有这种可能性出现的。
小编先找来资料给大家普及一下有关亚马逊店铺授权的知识,首先要明白三个名词AWS、MWS、Secret Key(本次事件的主角,所谓的“API”)。
AWS
Amazon Web Service,简单地说就是各种云服务,一个大型企业需要非常完备的数据存储、调取、开发能力,这时候AWS就好像一个框架,帮助大企业去定制一套摩天大楼,以他自己的方式安排运营、市场、研发各个部门。
MWS
Amazon Marketplace Web Service是一种能够帮助亚马逊卖家程序化地实现listing、订单、付款、报告等方面的数据交换的网络集成API。
Secret Key
Secret Key是MWS授权的一种方式,亚马逊给第三方授权有三种方式:
1、直接通过MWS调取亚马逊卖家账户(也就是Secret key授权)
2、授权某个应用通过MWS调取亚马逊卖家账户
3、授权某个开发者调取亚马逊卖家账户
有人还为此总结了以上三种授权方式存在的风险:
从表格中可以清新的看到,非自主开发软件授权方式尽量选择Seller ID,Marketplace ID,MWS Authorisation,以及常见的Token方式来授权,至少有自主权,不想使用时还可以通过调整来解除授权绑定。一旦结束绑定更换数据,授权软件数据便无法再接入抓取数据。与之相反的,如果采用secret key的授权方式,不仅无法断开数据的API对接,而且也无法知道第三方以卖家身份什么时候进行了什么操作,更无法知道API信息会不会被复制给其他人。
亚马逊也警告卖家谨慎授权,不要共享secret key
一般情况下Secret Key类型自用,这是一种使用最为严格但潜在风险最高的授权,好比亚马逊MWS就像一个箱子,这种授权就是给了服务商一把万能钥匙,随便你怎么换密码对方都能打开。
而且这把钥匙还可以被复刻(分享给别人),你也不知道谁打开了你的箱子……如果一旦被不良服务商泄露你的数据,后果可想而知。所以secret key的授权方式自用最好,在第三方服务商需要授权的时候就非常考验服务商的人品,卖家一定要做好甄别。
扫码关注二维码
扫码加入社群
扫一扫
关注亿恩公众号