“抢占县城退烧药”暴露出网购平台的业务安全漏洞

　　 自疫情发生以来，恐慌的大众便一直在盲目跟风。先是囤口罩，有人趁机大发“疫情财”，卖假口罩;后来囤菜的人从卖假口罩的人手里接过接力棒，靠囤菜转卖，七天赚了150多万;再然后，就是核酸检测机构造假，他们漏检、丢样本、为了让自己“财源滚滚”，创造出了一个又一个的假阳性...如今，随着疫情防控政策的全面放开，囤药又成了“新风口”，他们正在偷偷抢光小县城的急救药。

　　  12月13日，“异地购药攻略抢占县城退烧药”冲上热搜。

　　  

　　

　　  据网友反映，在一些社交平台上有用户发布了“异地网购药品攻略”。攻略称只需将跑腿软件的定位修改到广西、西藏、新疆等地，再通过快递的方式就能抢购中小城市药店的布洛芬、美林、泰诺林等退烧药品，然后要求骑手把退烧药邮寄给几百几千公里外的自己，如果骑手不从，就威胁给差评。

　　  

　　

　　  一些用户在抢药成功后，还主动在社交平台分享“成功秘诀”，告诉网友哪些地区的药店还有存货。于是偏远地区的小县城，骑手扎堆，药品迅速被抢购一空。

　　  此消息一出，迅速引来群众的不满。不少网友怒斥这样的行为不仅扰乱平台秩序，更给小县城的感染者们带来了更大的隐患。

　　  

　　

　　  抢县城退烧药伤的不仅是人心，更是网购平台的安全防线

　　  那么，为什么会发生抢占小县城退烧药的事件?顶象防御云认为主要有三个原因：

　　  一是来自市民的恐慌情绪，极易批量抢购。随着感染人数的增多，各种退烧药变得紧俏，很多家商铺都显示目前无货的状态。有的直接开启了预售模式，有的送达时间都排到了明年一月，依然有不少人下了订单。

　　  二是有可能是黑灰产通过技术手段模拟地理位置。地理位置模拟顾名思义就是基于地理位置的模拟工具，可以通过对位置的模拟改变当前位置。

　　  通过更改地理位置来达到自己的目的，这样的行为不仅扰乱了市场秩序，也给网购平台的App 安全画上了问号。

　　  三是有可能是机器抢，即黑灰产通过作弊软件批量抢药，造成大部分用户在购买某个药品时“查无此药”。通过伪造账号和设备的地址、定位后，黑灰产利用软件可以操控几十个乃至几百个账号，批量抢“救命药”。

　　  规则与技术双管齐下，保障平台业务安全

　　  疫情当前，备药囤药无可厚非，但若以抢占小县城的药品资源为解决问题的办法，则万不可取。

　　  因此，顶象防御云建议网购平台可增加以下新规则：

　　  第一、增加订单仅限本地接受规则。规定日期内，无论是本地还是外地订单，仅允许本地地址接受。

　　  第二、增加限额购买规则。规定日期内，每人最多允许购买3人份等。

　　  第三、加大抢购账号惩罚。对于反复频繁购买且发往不同地址的账号，进行真人核验。

　　  除了增加新规则限制规范异地购药外，还需要对修改定位、模拟地理位置、运用程序软件批量哄抢的行为进行拦截。

　　  顶象智能验证码是一个以防御云为核心，集13种验证方式，多种防控策略，以智能验证码服务、验证决策引擎服务、设备指纹服务、人机模型服务为一体的云端交互安全验证系统。能够阻挡恶意爬虫盗用、盗取数据行为。并能够在注册、登录、查询时，对恶意账号、恶意爬取行为进行实时的核验、判定和拦截。

　　  顶象端加固支持安卓、iOS、H5、小程序等平台，能够发现应用存在的风险漏洞并针对性进行修复整改，对敏感数据、代码混淆、代码完整性、数据等进行保护，从源头上避免系统漏洞对于应用本身造成的安全影响，防范模拟器作弊工具的利用。

　　  顶象设备指纹作为顶象防御云的一部分，集成了业务安全情报、云策略和数据模型，通过用户上网设备的硬件、网络、环境等特征信息生成设备的唯一标识，覆盖安卓、iOS、H5、小程序，可有效识别模拟器、刷机改机、Root、越狱、劫持注入等风险，做到有效监控和拦截。

　　  同时，顶象防御云建议：作为个人的我们更应保持理性，购买药品前应仔细甄别信息，适量购买防疫用品，针对药品暂时短缺的情况，可按照国家有关部门推荐的防疫用品进行替代。

　　类型：广告