IT之家 2 月 14 日消息,据外媒 TechCrunch 今日报道,印度最大连锁药房之一 DavaIndia Pharmacy 存在严重安全漏洞,外部人员一度可获取平台最高管理员权限,从而访问客户订单数据及关键药品管理功能。
DavaIndia Pharmacy 在印度运营超过 2300 家门店,并正加速扩张。今年 1 月宣布新增 276 家门店,未来两年计划再增加 1200 至 1500 家。发现漏洞的安全研究员 Eaton Zveare 表示,其在网站中发现未加防护的“超级管理员”API 接口,并已向印度网络安全部门报告。漏洞目前已修复。
打开网易新闻 查看更多图片
Zveare 表示,问题源于后台管理接口缺乏身份验证机制,使未经授权的用户能够创建拥有高权限的“超级管理员”账户。获得该权限后,攻击者可以查看包含客户信息的数千笔在线订单,修改商品信息与价格,创建优惠券,甚至调整部分药品是否必须凭处方销售。
系统时间戳显示,接口自 2024 年末起处于开放状态。漏洞涉及近 17000 笔订单数据,以及覆盖 883 家门店的管理权限。此类访问权限还支持修改网站内容,理论上可能被用于页面篡改或业务干扰。
由于药房订单可能涉及个人健康状况和用药记录,此类数据的敏感程度远高于一般消费信息。Zveare 表示:“客户信息与订单直接关联,包括姓名、电话号码、电子邮箱、邮寄地址、支付金额以及购买商品。对于部分消费者而言,所购药品可能属于隐私甚至令人尴尬的信息。”
Zveare 称,其已于 2025 年 8 月向印度国家网络应急响应机构 CERT-In 报告该漏洞。漏洞在数周内得到修复,但公司确认时间较晚,于 11 月底向网络安全部门作出正式说明。IT之家从报道中获悉,研究人员表示,没有迹象表明漏洞在修补前遭到利用。