印度知名連鎖藥房DavaIndia Pharmacy近日被曝存在重大安全隱患。安全研究人員發現,該平臺后臺管理接口長期缺乏身份驗證機制,導致外部人員可繞過權限控制直接創建"超級管理員"賬戶。這一漏洞使攻擊者能夠獲取客戶敏感信息,甚至干預藥品銷售流程。
據披露,該漏洞自2024年末起持續存在,涉及近1.7萬筆在線訂單數據和883家門店的管理權限。攻擊者通過未受保護的API接口,不僅可以查看客戶姓名、聯系方式、收貨地址等基礎信息,還能獲取支付金額和具體購買藥品的詳細記錄。對于部分涉及隱私的特殊藥品,這種信息泄露可能給消費者帶來嚴重困擾。
安全專家Eaton Zveare指出,漏洞核心在于系統設計缺陷:后臺管理接口未設置任何身份驗證環節,使得任何人均可創建具備最高權限的賬戶。獲得控制權后,攻擊者能夠修改商品價格、發放優惠券,甚至調整處方藥銷售規則。更危險的是,這種權限還允許篡改網站內容,存在被用于商業欺詐或運營干擾的風險。
作為印度最大的連鎖藥房之一,DavaIndia目前運營著超過2300家門店,且保持著強勁的擴張勢頭。今年1月,該企業剛宣布新增276家門店,并計劃在未來兩年再開設1200至1500家新店。這種快速擴張的態勢,使得安全防護體系的建設顯得尤為重要。
Zveare于2025年8月向印度國家網絡應急響應機構CERT-In提交了漏洞報告,相關問題在數周內得到修復。但企業直至11月底才向監管部門作出正式說明,確認期間未發現數據被惡意利用的跡象。藥房訂單中包含的個人健康信息,其敏感程度遠超普通消費數據,此次事件再次為醫藥電商行業敲響安全警鐘。
