印度知名连锁药房DavaIndia Pharmacy近日被曝存在重大安全隐患。安全研究人员发现,该平台后台管理接口长期缺乏身份验证机制,导致外部人员可绕过权限控制直接创建"超级管理员"账户。这一漏洞使攻击者能够获取客户敏感信息,甚至干预药品销售流程。
据披露,该漏洞自2024年末起持续存在,涉及近1.7万笔在线订单数据和883家门店的管理权限。攻击者通过未受保护的API接口,不仅可以查看客户姓名、联系方式、收货地址等基础信息,还能获取支付金额和具体购买药品的详细记录。对于部分涉及隐私的特殊药品,这种信息泄露可能给消费者带来严重困扰。
安全专家Eaton Zveare指出,漏洞核心在于系统设计缺陷:后台管理接口未设置任何身份验证环节,使得任何人均可创建具备最高权限的账户。获得控制权后,攻击者能够修改商品价格、发放优惠券,甚至调整处方药销售规则。更危险的是,这种权限还允许篡改网站内容,存在被用于商业欺诈或运营干扰的风险。
作为印度最大的连锁药房之一,DavaIndia目前运营着超过2300家门店,且保持着强劲的扩张势头。今年1月,该企业刚宣布新增276家门店,并计划在未来两年再开设1200至1500家新店。这种快速扩张的态势,使得安全防护体系的建设显得尤为重要。
Zveare于2025年8月向印度国家网络应急响应机构CERT-In提交了漏洞报告,相关问题在数周内得到修复。但企业直至11月底才向监管部门作出正式说明,确认期间未发现数据被恶意利用的迹象。药房订单中包含的个人健康信息,其敏感程度远超普通消费数据,此次事件再次为医药电商行业敲响安全警钟。
