最近，网上流传“支付平台站遭‘黑客’攻破 ，3小时获利1800万！”的文章，文章描述济南市公安局立下分局接到某投资公司的报案，报案称公司网络被人攻破，公司在第三方支付公司的账户的钱被转走1800余万。案件破获后犯罪嫌疑人交代他在发现某公司第三方支付公司的漏洞之后，运用了网上学习的黑客抓包软件，通过充值1元钱，将1元钱变更为20万元，再通过正常提现功能将20余万元正常提现。他在成功取出这20万元后，便将这个漏洞公布在了他所在的黑客群里，仅靠传授作案方法便又获利8万余元。其他黑客又陆续在该公司注册了84个账户，在不到三个小时的时间内通过同样的手段非法提现1800万元。

乍看之下，此案件应该由支付平台来背锅。但仔细分析案件后，从安全角度来考虑，报案公司才应该负主要责任，为什么呢？

根据犯罪嫌疑人的描述，他们是通过报案公司的平台进行充值，然后篡改交易，在平台提现实现套利。支付公司仅是平台的资金托管方。

问题来了，为什么“黑客”能篡改交易金额呢？

一般来说，网站账户的充值交易的正常流程如下图所示：

前三步都是用户跟平台之间的交互，在用户提交了充值金额和充值方式后（第1步），返回一个确认按钮，在用户确认后，平台而后与支付机构交互。

“黑客“在哪做的手脚呢？正是在第3步确认充值后，平台会自动生成一个订单号，包括金额和其他信息。此时，“黑客”篡改了其中的金额，例如第1步中的金额是20000元，在第三步确认充值时将金额改为1元，而平台把1元发给了支付机构，而后的交易都是1元的交易。也就是说，平台收到的充值金额是20000元，记账金额也是20000元，而“黑客” 实际支付的却是1元。

综上分析，在整个交易流程中，支付机构返回结果可能是某个订单号的支付结果，即成功或者失败，而平台并未对用户请求的充值金额和实际发生金额进行匹配，记账却以请求金额为准，这是造成平台被“黑客“攻击导致损失的直接原因。

其实，除了充值交易，很多平台对订单金额和支付金额都没有校验，被攻击者篡改金额后以低价购买了高价商品，而商户发货后才发现造成了平台的损失。据了解，此前甚至有大宗商品类的交易平台也发生过同样的漏洞，仅一单的交易就给平台造成了极大的损失。

此类问题的出现既有技术原因也有业务流程问题。平台可以通过多种技术措施来解决该漏洞，如在用户确认后对比两次的金额或者两次请求关键信息的哈希值，或者以第一次请求为准提交给支付机构的平台等。

安全是技术和管理的结合，面对互联网环境下无时不在的攻击，任何与支付相关的漏洞都可能被利用，平台、支付机构和用户应共同在安全意识中崛起，保障支付安全。

作者：老吴