山東
IT之家 2 月 14 日消息,據外媒 TechCrunch 今日報道,印度最大連鎖藥房之一 DavaIndia Pharmacy 存在嚴重安全漏洞,外部人員一度可獲取平臺最高管理員權限,從而訪問客戶訂單數據及關鍵藥品管理功能。
DavaIndia Pharmacy 在印度運營超過 2300 家門店,并正加速擴張。今年 1 月宣布新增 276 家門店,未來兩年計劃再增加 1200 至 1500 家。發現漏洞的安全研究員 Eaton Zveare 表示,其在網站中發現未加防護的“超級管理員”API 接口,并已向印度網絡安全部門報告。漏洞目前已修復。
Zveare 表示,問題源于后臺管理接口缺乏身份驗證機制,使未經授權的用戶能夠創建擁有高權限的“超級管理員”賬戶。獲得該權限后,攻擊者可以查看包含客戶信息的數千筆在線訂單,修改商品信息與價格,創建優惠券,甚至調整部分藥品是否必須憑處方銷售。
系統時間戳顯示,接口自 2024 年末起處于開放狀態。漏洞涉及近 17000 筆訂單數據,以及覆蓋 883 家門店的管理權限。此類訪問權限還支持修改網站內容,理論上可能被用于頁面篡改或業務干擾。
由于藥房訂單可能涉及個人健康狀況和用藥記錄,此類數據的敏感程度遠高于一般消費信息。Zveare 表示:“客戶信息與訂單直接關聯,包括姓名、電話號碼、電子郵箱、郵寄地址、支付金額以及購買商品。對于部分消費者而言,所購藥品可能屬于隱私甚至令人尷尬的信息。”
Zveare 稱,其已于 2025 年 8 月向印度國家網絡應急響應機構 CERT-In 報告該漏洞。漏洞在數周內得到修復,但公司確認時間較晚,于 11 月底向網絡安全部門作出正式說明。IT之家從報道中獲悉,研究人員表示,沒有跡象表明漏洞在修補前遭到利用。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
