Wie können Informationen über Payment Gateways missbraucht werden

Hallo Freunde!

Da die API Key und auch der Secret Key im WP-Backend für alle ersichtlich ist, frage ich mich ob und wie diese Informationen missbraucht werden können?

In meinem Shop haben immer mal wieder auch externe Freelancer Zugriff und bisher habe ich die Bezahlfunktionen deaktiviert bzw. den Secret Key und den API Schlüssel aus dem Backend entfernt, da ich kein Risiko eingehen möchte. Ein bekannter Freelancer meinte allerdings das mit diesen Informationen nicht viel gemacht werden kann, da am Ende das eigene Bankkonto verknüpft ist und Zahlungen deshalb immer in dem angegebenen Bankkonto ankommen und über den Secret Key nicht geändert werden können.

Ich habe trotzdem ein ungutes Gefühl wenn Menschen (die ich nicht persönlich kenne) Zugang zu meinem Secret Key und den API Key haben, darum möchte ich hier im Forum fragen wie ihr das macht und welche Sicherehitsrisiken entstehen wenn diese Keys in fremde Hände gelangen?

Vielen Dank für eine Antwort

 

Hab gerade mit Stripe telefoniert und mir wurde bestätigt das mit den Keys alleine kann man nicht viel anfangen. Die Keys könnten dafür verwendet werden von einem anderen Shop aus die Bezahlung auf mein Konto umzuleiten, da hätte ich überhaupt nichts dagegen

Der Secret Key heißt zwar Secret Key, ist aber nicht "secret". Also der Geheimschlüssel muss nicht geheim gehalten werden, weil man mit dem Schlüssel nicht anfangen kann. Die wichtigen Zugangsdaten sind die zum Stripe Account und nicht die Verbindungsschlüssel.