印度最大连锁药房 DavaIndia 被曝存在严重安全漏洞，客户数据恐遭泄露

2 月 14 日消息，据外媒 TechCrunch 今日报道，印度最大连锁药房之一 DavaIndia Pharmacy 存在严重安全漏洞，外部人员一度可获取平台最高管理员权限，从而访问客户订单数据及关键药品管理功能。

DavaIndia Pharmacy 在印度运营超过 2300 家门店，并正加速扩张。今年 1 月宣布新增 276 家门店，未来两年计划再增加 1200 至 1500 家。发现漏洞的安全研究员 Eaton Zveare 表示，其在网站中发现未加防护的“超级管理员”API 接口，并已向印度网络安全部门报告。漏洞目前已修复。

Zveare 表示，问题源于后台管理接口缺乏身份验证机制，使未经授权的用户能够创建拥有高权限的“超级管理员”账户。获得该权限后，攻击者可以查看包含客户信息的数千笔在线订单，修改商品信息与价格，创建优惠券，甚至调整部分药品是否必须凭处方销售。

系统时间戳显示，接口自 2024 年末起处于开放状态。漏洞涉及近 17000 笔订单数据，以及覆盖 883 家门店的管理权限。此类访问权限还支持修改网站内容，理论上可能被用于页面篡改或业务干扰。

由于药房订单可能涉及个人健康状况和用药记录，此类数据的敏感程度远高于一般消费信息。Zveare 表示：“客户信息与订单直接关联，包括姓名、电话号码、电子邮箱、邮寄地址、支付金额以及购买商品。对于部分消费者而言，所购药品可能属于隐私甚至令人尴尬的信息。”

Zveare 称，其已于 2025 年 8 月向印度国家网络应急响应机构 CERT-In 报告该漏洞。漏洞在数周内得到修复，但公司确认时间较晚，于 11 月底向网络安全部门作出正式说明。从报道中获悉，研究人员表示，没有迹象表明漏洞在修补前遭到利用。