最近啊,印度那边出事了,说是最大的连锁药房DavaIndia被黑客盯上了。这个AI导读真是让人挺吃惊的,它直接把印度最大连锁药房DavaIndia Pharmacy的问题给曝出来了。你能想象吗?外行人居然能搞到最高管理员权限,结果搞得17000笔敏感药品订单数据全都暴露出来了,还有883家门店的管理权也丢了。这问题到底是咋回事?原来是他们的API接口没保护好,黑客直接动手改价格、改处方,甚至连客户隐私信息都敢动。这消息是IT之家从TechCrunch那儿扒来的,说真的太让人震惊了。 DavaIndia Pharmacy在印度那是铺天盖地的,超过2300家门店呢,现在还在加速扩张呢。今年1月他们宣布要再开276家店,两年内还要增加1200到1500家。发现这个漏洞的是个叫Eaton Zveare的安全研究员,他在网站里找到一个没加防护的“超级管理员”API接口。他赶紧把这事儿报告给了印度网络安全部门CERT-In。幸好这次漏洞现在已经修好了。 Zveare说问题就出在后台管理接口没加身份验证机制上,让没权限的人也能弄出个高权限的“超级管理员”账户来。拿到了这个权限,黑客就能查看到客户信息的几千笔在线订单、改商品信息和价格、发优惠券甚至还能调整部分药品是不是必须凭处方才能卖。时间戳显示这个接口从2024年底就一直开着呢。这涉及到近17000笔订单数据,还有覆盖883家门店的管理权限。 更吓人的是这个权限还能修改网站内容,理论上可能会被用来篡改页面或者搞业务干扰。因为药房订单往往跟个人健康状况和用药记录挂钩啊,这些数据可比一般的消费信息敏感多了。Zveare说:“客户信息直接跟订单挂一块儿的呀,什么姓名、电话号码、电子邮箱、邮寄地址、支付金额和买的东西都有。”有些消费者买的药品可能是隐私甚至让人脸红的事情呢。 不过好在研究人员表示没迹象表明有人在修补前利用过这个漏洞。Zveare已经在2025年8月向CERT-In报告了这个情况。漏洞倒是很快就修好了,但公司反应有点慢,到了11月底才正式向网络安全部门做了说明。哎,这个事情真是让人大跌眼镜啊!