印度知名連鎖藥房DavaIndia Pharmacy近日被曝存在重大安全隱患。安全研究人員發(fā)現(xiàn),該平臺后臺管理接口長期缺乏身份驗證機(jī)制,導(dǎo)致外部人員可繞過權(quán)限控制直接創(chuàng)建"超級管理員"賬戶。這一漏洞使攻擊者能夠獲取客戶敏感信息,甚至干預(yù)藥品銷售流程。
據(jù)披露,該漏洞自2024年末起持續(xù)存在,涉及近1.7萬筆在線訂單數(shù)據(jù)和883家門店的管理權(quán)限。攻擊者通過未受保護(hù)的API接口,不僅可以查看客戶姓名、聯(lián)系方式、收貨地址等基礎(chǔ)信息,還能獲取支付金額和具體購買藥品的詳細(xì)記錄。對于部分涉及隱私的特殊藥品,這種信息泄露可能給消費者帶來嚴(yán)重困擾。
安全專家Eaton Zveare指出,漏洞核心在于系統(tǒng)設(shè)計缺陷:后臺管理接口未設(shè)置任何身份驗證環(huán)節(jié),使得任何人均可創(chuàng)建具備最高權(quán)限的賬戶。獲得控制權(quán)后,攻擊者能夠修改商品價格、發(fā)放優(yōu)惠券,甚至調(diào)整處方藥銷售規(guī)則。更危險的是,這種權(quán)限還允許篡改網(wǎng)站內(nèi)容,存在被用于商業(yè)欺詐或運營干擾的風(fēng)險。
作為印度最大的連鎖藥房之一,DavaIndia目前運營著超過2300家門店,且保持著強(qiáng)勁的擴(kuò)張勢頭。今年1月,該企業(yè)剛宣布新增276家門店,并計劃在未來兩年再開設(shè)1200至1500家新店。這種快速擴(kuò)張的態(tài)勢,使得安全防護(hù)體系的建設(shè)顯得尤為重要。
Zveare于2025年8月向印度國家網(wǎng)絡(luò)應(yīng)急響應(yīng)機(jī)構(gòu)CERT-In提交了漏洞報告,相關(guān)問題在數(shù)周內(nèi)得到修復(fù)。但企業(yè)直至11月底才向監(jiān)管部門作出正式說明,確認(rèn)期間未發(fā)現(xiàn)數(shù)據(jù)被惡意利用的跡象。藥房訂單中包含的個人健康信息,其敏感程度遠(yuǎn)超普通消費數(shù)據(jù),此次事件再次為醫(yī)藥電商行業(yè)敲響安全警鐘。
