亚马逊官方技术人员,权威解读MWS封号风波
7009昨天出了一件大事儿,不用说各位老铁都知道就是关于MWS授权问题引发大量卖家被封号的事情。很多人都在问我到底什么情况,群里也都炸开了锅。说实话其实并不是啥大事,只是因为被过度炒作所以造成了整个行业的集体恐慌。
其实我最近真的很累,本想歇一歇再写一个深度解析。但是问我的老铁太多了,而且一个个都万分焦急,不停的问我:
**工具咋样?
**软件安全不?
······
我一个个解释太累,所以决定还是提前把这个事情解释清楚,彻底解决行业的恐慌。
写
在
前
面
今天有看行业里面很多公众号都在更新关于MWS这一块的事情。但是呢,多多少少都有一些问题。说白了就是不够权威,不算特别有说服力,毕竟这东西牵扯到技术问题,其实已经超越了亚马逊卖家的认知范围了。所以,思来想去,我来讲其实也不太合适,于是找到了一位曾经参与亚马逊官方软件-海卖助手开发的技术小哥哥(现在已经离职创业)来帮我们解释一下这件事情的来龙去脉,以及真正的原因。目的很简单,就是为了结束行业恐慌,大家该干嘛干嘛,谣言止于智者。
首先做个声明
下面的这些文字解释和图片都是来源于这个亚马逊海麦助手技术小哥哥和我的一个谈话记录,我稍微把他的观点做了一个整理和归纳,做成了一篇比较通俗易懂的文章,请大家仔细认真看。目的也是尽我所能,帮助到大家。
基
本
说
明
首
先
我们要知道的是,当我们通过亚马逊后台绑定一些工具软件的时候,很多的第三方软件,都会要求卖家提供开发相关的密钥或者Token之类的东西,通常的服务商有两种授权方式,准确来说是三种,但是第二种第三种相似度极高,所以算一种。
所以,我们归纳总结一下是两种授权方式(图片可点击可放大):
A种授权方式
B种授权方式
看完上面这两种授权模式以后,有老铁会问了,为什么会有两种授权方式呢?到底哪种方式更合理,更安全呢?
首先我们看下图红线部分:
从亚马逊的帮助中心可以看到,MWS官方明文申明了,不要把自己的开发者凭证(access 和secrete Key),发给任何人!!!
所以,A这种方式是完全错误的方式
❂ Access和Secret Key给予第三方服务商后,他们可以在不告知你的情况下获取你账号的大部分数据及操作权限,导致Amazon数据被滥用,影响严重甚至导致封号。
❂ Access和Secret Key一旦生成无法在后台自行修改,如果你把你的access 和secrete Key给过给任何第三方服务商,他将有权利一直获取你的商业数据,你无法停用这个服务。
❂ 由于亚马逊明文规定,不要将access 和secrete Key给任何人。你可以理解为access 和secrete Key是你主账号的账户和密码!可能会造成账号关联。
❂ 由于开发者权限很大,可以对listing进行修改,如果发现第三方服务商有问题,无法定位到具体是哪一家服务商造成的。
B这种授权方式是Amazon官方推荐的方式
❂ 方便管理
假如哪一天你不需要和这家第三方合作了,可以点击Revoke按钮。
如果采用第一种方式,假如你告诉了N家以A这种方式绑定的第三方,那么一旦你找客服修改完凭证,所有的第三方工具功能都会失效。
❂ 安全:不会造成账号关联。
❂ 如果发现有异常情况,可以通过联系亚马逊客服,定位到违规操作的第三方。因为每一次调用MWS的接口,都会返回一串ResponseCode.
既然大家都知道A种授权方式,是会被亚马逊封号严打的。那么B种授权方式的开通逻辑和方法是什么呢!
进入如下链接:
https://sellercentral.amazon.com/gp/account-manager/home.html/
你可以点击授权一个开发者的方式,将开发者提供给你的提供的开发者Id,和第三方的名字输入到如下界面:
点击Next后,你的后台就会出现:
然后你再将Seller ID和Auth token提供给第三方工具,那么你就可以使用他们的服务了。这种模式绑定是非常安全的,现在而且以后也不会有任何问题。
另外,B 种授权模式刚开通的时候,亚马逊会默认给予这个第三方服务商1年的开发权限,如果到期,则它们不能再访问您的任何数据,您使用它们的功能也会受到限制,当然第三方的软件让您感到非常满意,您记录一个闹钟,来提醒自己定期去给第三方软件开发商刷新使用权限,点击对应服务商的Renew access按钮:
如果您对第三方的软件不满意,记得一定要点击Revoke按钮,就是可以直接解除绑定了。
常
见
问
答
看完上面小哥哥的解析,各位老铁是不是有一种醍醐灌顶的感觉。所以我们应该避免用A种授权模式进行授权,而应该用B种模式进行授权。这样就是绝对安全的。
我相信各位看完以后应该还有一些疑问,各位老铁放心,我们好人当到底,下面我会做一个常见问题Q&A,帮助大家去更深刻的理解这个问题。
我今天收到了警告信,被封号了,我应该如何申诉,找回我的账号?
大家可以看看我截图的亚马逊警告信,在警告信的末尾已经写明了应该申诉的方式和要求。其实真的没啥大不了的事,你按照下面的要求提供就行了,基本上是很快解封,而且提供这些材料也不难,毕竟不是发票那些东西,如实提供即可, 解封速度非常快:
亚马逊这么做的目的是为了打击中国卖家和工具软件服务商么?
恰恰不是这样,亚马逊这么做的目的是为了更好的保护中国卖家。其实你可以把封号理解为一种保护机制,就像之前你改了密码发现账号登录不进去的原因一样,都是亚马逊的一种保护机制。所以这种解封都非常快,因为不是啥大事。真的不用恐慌。
至于工具这一块,亚马逊的确是要打击某几家的工具。主要原因是因为一些工具拿到了A模式的授权,然后做了很多踩红线的事情,而且大量机房IP频繁抓取数据引起了亚马逊的额外注意。因为拿了A授权再频繁拉数据,拉订单信息就等于是你的卖家账号被直接被大量IP ,频繁登录,这种当然会让亚马逊产生警觉,出于保护你的目的先把你的账户给关了。而且,亚马逊在要求你写POA的时候也是让你供出这些软件服务商到底是谁,目的也是把害群之马揪出来,其实和当时打击刷单比较像。
另外,如果以前有用过A种授权模式绑定的卖家。就一定会接到警告被封号么?当然不是,比如市面上一些支付也是用了A种授权模式,但是各位老铁不用太担心,因为支付比较简单,没有太多的多余动作和频繁的拉数据订单请求,所以到现在都没有哪个卖家因为用了支付的问题,收到MWS滥用警告信封号的。
作为卖家,我如何判定我之前用的是A种授权模式绑定,还是B种授权模式绑定?
其实要判断很简单。很多卖家出事以后,都纷纷跑去后台revoke解绑海量的第三方工具软件。其实这么做是没有意义的。为啥这么说呢?一般你能够直接在后台revoke解绑的,都是选择B种方式授权的工具,本来就是非常安全的,你去解绑干嘛呢?
那些有问题的,选择A种授权的工具,在后台是解绑不了的。因为A种授权是单向的。只要绑定以后就是终身的了,类似你把你自己的店铺账户密码给人家了。你自己根本就无法解绑。所以其实判断很简单,你只要能在后台直接revoke的,其实都是非常安全的工具,完全不需要revoke。你自己解绑不了的,才是拿了你A种授权有安全隐患的工具软件。
当然,你自己解绑不了不代表亚马逊解绑不了。你可以通过开case联系amazon客服,重新重置刷新MWS密钥,这样以前所有用MWS密钥对接亚马逊的软件都会断开。
具体操作方法如下:
进入网站:
https://sellercentral.amazon.com/gp/mws/contactus.html
然后在以下这个页面可以联系更改Secret key
申请主题和意见建议这里可以写:因为一些原因,比如前员工离职,比如之前ERP开放合作方没谈妥等等,导致了AWS Access Key ID and Secret Key的泄露,所以要求亚马逊update我们的AWS Access Key ID and Secret Key。这样就OK了。
是不是只要是用了A种方式授权的卖家,都会遭到封号的风险?
这么说肯定是不准确的,各位老铁真的不用人人自危。毕竟业内一些主流的收款公司都是采取了A种授权模式,如果出事的话那就不是小范围了,而是大范围出事了。实在要是怕的话,你就开case要求update解绑即可。
那么为什么这些支付公司还是要通过A这种模式授权呢? 当时我们也百思不得其解,后问过业内专业人士,加上我们推测,原因应该是:国内正规支付公司收款都受外管局监管,需要及时提供销售数据才能申请结汇额度。使用B方案,由于存在撤销授权、授权过期等风险,导致可能存在数据不完整的风险,所以支付公司一般使用了A方案比较多。而且支付公司相对来说比较正规,不会频繁调用数据拉订单,不会有太多违规操作,所以安全系数相对较高。
那些拿你A种授权的工具服务商,他们有什么不可告人的秘密么?
其实单纯就数据权限来看,A种授权和B中授权所能获取的卖家店铺数据是一样的。不论你授权了A还是B给服务商,服务商都可以看到你店铺的任何数据。并不是像一些公众号说的一样,A种授权可以看到更多的数据。
那么有些服务商拿了你A种授权有啥好处呢?有两种原因:一种是服务商真的不太专业,自己都没有搞清楚。第二种原因是A种授权绑定以后,就是终身的了,不会有一年到期的说法。而且卖家基本上摆脱不了这个服务商了,除非找亚马逊开case重置,不然后台也无法直接解除绑定revoke。因为A是单向绑定,而不是像B一样是双向绑定的。
第三种原因大家可以看下图,简单来说,第三方工具服务商,如果要做B方式完成授权,首先它自己,得有一个专业卖家账号,第一种A方式授权就不需要。A请求的方式,亚马逊会以为是卖家自己在操作MWS接口,因为亚马逊明文写出了,不允许告诉任何人自家的AWS Access Key ID 和Secret Key。而B方式告诉第三方服务商的只是token和Seller ID,Secret Key和AWS Access Key ID是第三方服务商自己的。如果亚马逊发现有违规操作,封的是AWS Access Key ID对应的专业卖家账号。所以,服务商选择第一种A方式授权,可以省去很多麻烦,而且出了问题可以轻易甩锅。
问题大概差不多是这些了,如果各位老铁还有什么问题,可以在评论区留言,大家一起讨论交流。但是不要问我**软件安不安全这种问题了,毕竟上面已经把这个问题剖析的那么详细了,各位老铁应该都具备了判断能力。
