听说印度有一家大药房DavaIndia被爆出现严重漏洞,客户的隐私数据有可能泄露出去。在IT之家看来,这个消息是AI系统生成的,外媒TechCrunch也报道了此事。DavaIndia是印度最大的连锁药房之一,在全国运营着超过2300家门店,而且还在扩张中。今年初他们刚宣布新增了276家分店,未来两年还打算再开1200到1500家。发现这个漏洞的安全研究员Eaton Zveare说,他在网站上找到了一个没有防护的“超级管理员”API接口,就把这个情况告诉了印度的网络安全部门CERT-In。 这家公司在运营的883家门店里可能都受到了影响。Zveare发现漏洞的原因是后台管理接口没有身份验证机制,让那些没权限的人也能创建一个拥有高权限的账户。只要有了这个权限,攻击者就能查看包含客户信息的17000笔订单数据,甚至还能修改药品价格和处方要求。更让人担心的是系统时间戳显示接口从2024年末就一直处于开放状态。 不仅如此,漏洞还允许修改网站内容和业务操作。考虑到医药订单关系到个人健康状况和用药记录,这类数据的重要性和隐私性都比一般消费信息要高得多。Zveare还说:“客户信息跟订单直接挂钩,包含姓名、电话、邮箱、地址、付款金额还有购买商品等细节。对于有些人来说,所购药品可能是隐私甚至让人尴尬的信息。” 好在Eaton Zveare已经在2025年8月就把这个漏洞报告给了CERT-In,数周内就把问题修好了。不过公司方面确认的时间比较晚,直到11月底才给网络安全部门正式说明情况。根据IT之家的了解,研究人员表示并没有迹象显示漏洞在修补前被人利用过。