영수증 검증 관련 문의입니다.

alec1545 · 11월 13, 2024, 4:44오전

고객님의 문의에 답변하는 직원은 고객 여러분의 가족 중 한 사람일 수 있습니다.
고객의 언어폭력(비하, 조롱, 욕설, 협박, 성희롱 등)으로부터 직원을 보호하기 위해
관련 법에 따라 수사기관에 필요한 조치를 요구할 수 있으며, 형법에 의해 처벌 대상이 될 수 있습니다.

커뮤니티 이용 정책에 위배되는 게시물을 작성할 경우, 별도 안내 없이 게시물 삭제 또는 커뮤니티 이용이 제한될 수 있습니다.

문의 응대 : 평일 오전 10시 ~ 오후 6시
문의를 남기실 경우 다음 항목을 작성해 주세요.
정보가 부족하거나 응대시간 외 문의하는 경우 확인 및 답변이 지연될 수 있습니다.

뒤끝 SDK 버전 :
프로젝트명 :
스테이터스 코드 :
에러 코드 :
에러 메시지 :

영수증 검증 기능의 취약점인지 확인을 부탁드립니다.
같은시간에 같은 주문ID로 상품이 결제된 기록이 있습니다.
영수증 번호 GPA.3390-9889-4152-00011
해당 유저는 같은 플레이 스토어 (구글계정이 아닌 스토어 계정)의 다른 계정으로 로그인하여 보상을 받았다고 합니다.
주문 ID를 계정별로 체크한다면 이러한 문제가 무조건 발생할텐데 혹시 영수증검증에 취약점이 있는게 아닌가싶습니다.

다행히 상시발생하지는 않으며 특정 상황으로 발생하는것같지만 뒤끝측 영수증검증의 주문ID가 중복되어도 통과되는건 분명히 문제가 되는것같습니다.

Ransiee · 11월 13, 2024, 5:42오전

안녕하세요 개발자님,
혹 말씀해주신 구매내역과 관련하여 상품이 비소모성, 소모성, 구독 중 어떤 유형의 상품이었는지 공유해주실 수 있을까요?

alec1545 · 11월 13, 2024, 5:54오전

소모성 상품입니다.

Ransiee · 11월 13, 2024, 9:03오전

확인 내용 안내드립니다.
결제 상품의 유형 정보와 관계없이 결제는 결제 당시에 연동된 결제 계정에 종속됩니다.
뒤끝의 영수증 검증은 영수증의 유효 정보를 확인하는 기능으로 부정 이용을 통해 결제를 진행한 내역이 아닌지 여부를 확인하는 기능으로써 제공됩니다.
추가적으로 영수증 검증 진행 시 뒤끝의 유저 정보와 함께 영수증 검증 이력을 저장하며 해당 유저가 동일 정보로 요청을 하는 경우에 대한 안내를 제공하고는 있으나,
비소모성 상품등과 같이 종속이 필요한 경우들이 존재하기에 결제 계정을 기반으로한 종속 내용 중복 검증까지는 제공되지는 않는 점 참고하여 주시면 감사하겠습니다.

관련하여서는 남겨주신 말씀 내부에 공유하여 개선 가능한 부분에 대해서는 개선할 수 있도록 피드백 하겠습니다.

alec1545 · 11월 14, 2024, 12:52오전

그렇다면 몇가지 문제가 있습니다.

뒤끝을 사용한다면, 뒤끝 영수증 기능으로 결제 검증을 쓰는 게임이 대다수 입니다.
영수증 검증은 이미 성공되어 등록된 영수증이 있더라도, 현재는 추가적으로 해당 영수증으로 요청시
영수증 검증 성공처리를 하고 있습니다.
그렇다면 뒤끝을 사용하는 대다수의 게임은 중복결제를 이용하여 허위결제를 시도 할 수 있습니다. 그렇다면 영수증 검증 기능이 작동한다고 보기는 어려운것같습니다.

말씀하신 내용대로라며 다른 뒤끝을 이용한 서비스중인게임에 이를 악용한다면 수천수백만원의 상품을 받아갈수 있습니다.

뒤끝 영수증검증을 사용하면서, 영수증이 중복되고 이미 성공되어 사용된 영수증인지를 알아서 해결하라고 하신다면 그에따른 가이드를 주시면 감사하겠습니다.

단순히 뒤끝의 영수증 검증이 부정결제인지만 확인하는 기능이라면 무료로 제공되는 유니티 영수증 검증만 써도 됩니다.
영수증검증을 서버를 이용하여 사용하는 가장 큰 이유는 영수증이 이미 사용되었는지 기록을하고
이 기록을 통해 같은 영수증이 왔을때 실패처리를 하는 이유도 있습니다.

만약 그런기능이 없다면 차라리 다른 영수증 검증기능을 사용하는게 맞는것같습니다.

소모성과 비소모성 기능이 왜 나오는지 모르겠습니다.
지금 요지는 사용된 영수증이 다시 등록되어 또 성공처리가 되고 있다는부분입니다.

위는 같은 영수증으로 성공처리되어 두건이 등록된 모습입니다.

alec1545 · 11월 15, 2024, 1:18오전

남긴 글에 대한 진행사항이나 해결방안을 알 수 있을까요?
해결방안을 알려주신다면 다음 패치를 통하여 내용을 포함해야 할 것 같아서요

Ransiee · 11월 15, 2024, 7:04오전

답변이 지연되어 죄송합니다.
관련하여서는 앞서 답변에서 안내드린 것 처럼 현재 게이머 기준으로 영수증 토큰의 사용 이력을 중복 검증하고 있는 상황입니다.
이를 게임(프로젝트) 기준으로 적용하여 1회라도 검증이 이루어진 영수증 토큰에 대해서는 사용된 영수증임을 안내드릴 수 있도록 개선 반영할 예정입니다.
늦어도 차주중에는 개선될 예정이니 이점 참고하여 주시면 감사하겠습니다.