淘宝店铺别人登录了有风险吗

题图来自Unsplash，基于CC0协议

导读

别人登录了我的淘宝店铺，这真是一把悬在心头的利剑。接下来的内容或许会改变你对店铺安全的认知，建议你花几分钟时间耐心阅读。

别人登录后你能面临各种风险，基本就是在掌控你店铺命运的不是你本人。店铺登录信息一旦泄露，会先直接影响到操作层面——你的商品上架信息、价格调整、促销活动这些都可以被随便修改。

比如有人登录后可能故意修改了已经在售的宝贝信息，变相进行价格欺诈，把几元的东西标成几十元，等买家买了发现不对劲就开始扯皮。

更严重的是，不法分子完全有可能通过店铺后台删除你的评价和咨询记录，有些人还会利用你店铺的信誉基础把你的店里"洗白"成自己的工具，用来进行虚假宣传。

在淘宝的规则里，这种非授权用户的登录记录是会被详细记录下来的，被发现后可能会涉及到你的账户受到风险评估，甚至被认定为"恶意扰乱市场秩序"，轻则降权处罚，重则封店。有些朋友出售的特产很有名，因为某次被别有用心的人登录操作，听说明明很诚实经营可能法院都卷进去了这种事，完全想不到吧。

有人抓住这一点专门开发商标骗局，盗取你的登录凭证后，一方面加大店铺权重骗取信任，另一方面利用你店铺的资质来注册更高授权的店铺，把你的宝贝配方资料和技术专利占为己有，这种情况已经不是简单的经济损失，而是知识产权被恶意侵害。

举个真实案例，华南某淘宝城一个卖珍珠饰品的店主，去年莫名其妙少了1.3万存款。原来是几个学生用400块就把他给了一个不存在的客服账号设为管理员，短短几个月不但把十年打造的品牌弄崩了，还潜逃了3000多条订单的钱。

他在那之后做了几件事：第一不是傻傻报店客服，而是第一时间查了登录IP，发现是从北方某省分出的国家级电源管理项目的技术名单；第二他立即将自己名下其他账号的操作权限删除干净，所有不该设置为管理员的防备都调成最高级别；第三他这事没宣扬出去，但是在当地的淘宝运营群里发出警报，这才阻断了几单大客户的指认。

他从那以后不碰手机了，就两件事：把手机通讯录中的家人电话全设成验证码接收；给店里的所有宝贝都设置了价格保护锁定。

记得淘宝客服小妹曾经告诉他，登录密码与支付密码可以设成不一样的组合才行。他认为只是形式，别人要盗号总得知道密码吧，没想到现在确实有生僻字攻击、超高权限工具密码穷举等手段，这时候区分支付类和账户设置类的密码，实际上构建的是两道不同的防篡改堡垒。

在淘宝卖家后台打开右上角设置区，找到所有关于"登录安全"的选项，千万别嫌麻烦。有一个奇奇怪怪的输入速度限制选项，只要你匹配不上机器速度，黑客进来的概率会直线上升。绑定手机和邮箱的双重验证、每天允许登录的时间限制、陌生位置的弹窗警告，这些都是浏览器里免费的"士兵与坦克大战的游戏"，玩起来觉得有趣，玩着玩着坏人就会趴下。

这个问题核心在于，大多数卖家还是图存在感，觉得店开了就不管权限了。其实当你赠送商品时，不但要过消费者的验收关，还要过规则黑洞的筛查滤网。修改指定链接需要登录者掌握三个操作密码，这比保险柜里多把锁而已。普通人不会用专业密码审计工具，不容易展开攻击，但在内网主播环境和系统报复周期里，只要有人愿意，谁都能平白无故进去很多次。

控制他人连接权限最重要的一步，其实是把所有管理员账号的失效日期统一设成明天，定期清理账号列表，当一个人不再全职管店的时候，不要让他还能像现实中的钥匙一样插在门把手上。

有一点老生常谈，但多数卖家都懂。别人的电脑和你的一样，有时候甚至更高端，只是他们知道怎么找到你店里所有的秘密。如果你没注意到，他们的病毒木马就来了的时候，未必是等到降落到你店铺后台那一刻。在系统日志里检测远控软件痕迹，比眼睁睁看钱从账户消失有趣好几倍。

别人登录后可以修改哪些东西，这似乎是每个淘宝店铺店主都想问的问题。事实上不限于我们看到的那些前台信息，后台管理系统所能掌控的一切基础数据都在其操作范围内。可以更改卖家必须亲签亲到的宝贝发货地，可以把光标停留在宝贝标题那里的字一个个改，甚至能深度调用页面改装接口，开发一些超出官方预期的库存处理效果，但这些操作通常需要权限叠加过多才会被规则识别报错。

可以想象成你在酒店房间里拿到了房型图和设施说明书，而不是一道需要设置的破解门锁。在把你的店铺交给别人使用之前，无论是员工还是亲友，都值得请他们进行一次严格的后台操作安全演练。

到这里我觉得你应该很清楚了，别人登录淘宝店铺并管理是非常危险的事情，不单是资金被偷，还有店信誉、客户资源全丢，最恐怖的是一些案例已经被法院定性为诈骗和侵权。你以店主身份拥有的一切，都可能被不怀好意的人利用。