不久前的某通運公司因票務系統遭更改，進而售出一元票券，在這之前也有不少公司有出現這類問題，但大多是以平和方式收場，但為何某通運堅持提告，並堅持自家系統沒問題，也未遭入侵？但售出一元票券？

首先我們先從「通運公司系統未遭入侵」一事開頭。目前無論是台灣或是國外的金流系統，大多採以「金流端（第三方支付、銀行）」、「網路銷售端（網路商城）」以及「客戶端（使用者）」。

簡單來說，大多數的金流串接等同於「網路商城」將收錢的工作外包給銀行，只要銀行端收到錢就會立即與網路商城做回報，這時網路商城的後勤就會開始進行包裝、配送的程序。

你可能會問，收到錢，去哪了？這麼比喻，網路商城跟銀行說「這名顧客收１元」當然，銀行收一元後就會自動確認已收到貨款，而零元是一定無法通過系統驗證，所以一元是最低限額。

所以現在有兩種動手腳的方式：

1. 騙過銀行我已經付錢

2. 騙過銀行端我只要付一元

在現實看似荒唐、離譜的事情，在網路上卻變的合理。技術上兩個都不難，如何騙過銀行分別有兩種方式。

1. 直接使網頁跳回網路商城，完成購買頁面

2. 修改網路商城即將跟銀行端應收取的價錢、或直接修改銀行端收款價錢

短期內大部分的網路商城都有出現這類的問題，而金流端是否有嘗試著修正這個問題？答案是肯定的，但在現行體制下，在臺灣還是需要時間。

在台灣為保障第三方支付使用者安全，限制多以外申請更是繁複；支付龍頭 PayPal 也在新法上路後隨即宣佈退出台灣電子支付（台灣用戶不能付錢給台灣公司，但若將公司登記在其他國家，卻又變得可以？），但其實也算是個障眼法。前幾天有篇文章精闢說明智付寶進軍台灣的分析，說的也大同小異。

回歸回來，解決方案是什麼？在設定銀行端短期無法升級系統的情況下，我們可以自幹金流系統（不可能）？另一第三方支付（歐付寶、智付寶等）算是近期最完整的方案。又分別針對此狀況提出兩種不同解決方案：

• 歐付寶：訂單遭更改直接取消交易，但若為用戶在付款時又加購則會導致訂單失敗，用戶又要重新選擇

• 智付寶：遭更改重新寫入訂單，則可免上述問題。

當然第三方支付的關係又更複雜，簡單說：

網路商城（發包）→第三方支付（由第三方支付串接銀行）→銀行收款→第三方支付→網路商城（確認訂單）

但第三方支付近期也陸續將銀行端整合進來，也算是解決了部分安全性問題。

關於某通運堅持沒有遭入侵廣義上是沒有，畢竟後端系統無遭入侵、修改、資料竊取，而這個問題究竟是網站端、還是銀行端應該解決誰也說不透。

除非哪天媒體開始朝向「XX銀行所提供的支付平台又出包」，立委開始……，政府開始促成……。

十年後，我們再來回想這個問題。