|  {jz:field.toptypename/}IT之家 2 月 14 日音尘,据外媒 TechCrunch 本日报说念,印度最大连锁药房之一 DavaIndia Pharmacy 存在严重安全粗疏,外部东说念主员一度可获取平台最高惩处员权限,从而走访客户订单数据及要道药品惩处功能。 DavaIndia Pharmacy 在印度运营跳动 2300 家门店,并正加快膨胀。本年 1 月晓喻新增 276 家门店,将来两年沟通再增多 1200 至 1500 家。发现粗疏的安全盘考员 Eaton Zveare 示意,其在网站中发现未加防卫的“超等惩处员”API 接口,并已向印度收集安一说念门论述。粗疏当今已设置。  Zveare 示意,问题源于后台惩处接口枯竭身份考据机制,使未经授权的用户约略创建领有高权限的“超等惩处员”账户。赢得该权限后,袭击者不错检察包含客户信息的数千笔在线订单,修改商品信息与价钱,乐鱼创建优惠券,甚而周折部分药品是否必须凭处方销售。 系统时分戳露馅,接口自 2024 年末起处于洞开状态。粗疏波及近 17000 笔订单数据,以及遮掩 883 家门店的惩处权限。此类走访权限还撑执修改网站实践,表面上可能被用于页面点窜或业务侵犯。 伸开剩余29%由于药房订单可能波及个东说念主健康现象和用药记载,此类数据的明锐过程远高于一般蹧跶信息。Zveare 示意:“客户信息与订单径直关系,包括姓名、电话号码、电子邮箱、邮寄地址、支付金额以及购买商品。关于部分蹧跶者而言,所购药品可能属于秘密甚而令东说念主无语的信息。” Zveare 称,其已于 2025 年 8 月向印度国度收集济急反应机构 CERT-In 论述该粗疏。粗疏在数周内得到设置,但公司证及时分较晚,于 11 月底向收集安一说念门作出精致证明。IT之家从报说念中获悉,盘考东说念主员示意,莫得迹象标明粗疏在修补前遭到诳骗。 发布于:山东省
|