IT之家2月14日音信，据外媒TechCrunch当天报谈，印度最大连锁药房之一DavaIndiaPharmacy存在严重安全轻佻，外部东谈主员一度可获取平台最高惩处员权限，从而打听客户订单数据及缺陷药品惩处功能。

DavaIndiaPharmacy在印度运营稀奇2300家门店，并正加快膨胀。本年1月晓示新增276家门店，改日两年计较再加多1200至1500家。发现轻佻的安全商讨员EatonZveare示意，其在网站中发现未加驻扎的“超等惩处员”API接口，并已向印度收罗安沿路门阐述。轻佻当今已开拓。

Zveare示意，问题源于后台惩处接口缺少身份考证机制，使未经授权的用户或者创建领有高权限的“超等惩处员”账户。获取该权限后，波折者不错检察包含客户信息的数千笔在线订单，修改商品信息与价钱，创建优惠券，致使诊治部分药品是否必须凭处方销售。

系统技艺戳暴露，接口自2024年末起处于灵通状态。轻佻触及近17000笔订单数据，以及障翳883家门店的惩处权限。此类打听权限还复古修改网站施行，表面上可能被用于页面改革或业务扰乱。

由于药房订单可能触及个东谈主健康情状和用药记载，此类数据的明锐进度远高于一般消耗信息。Zveare示意：“客户信息与订单平直关系，包括姓名、电话号码、电子邮箱、邮寄地址、支付金额以及购买商品。关于部分消耗者而言，所购药品可能属于阴私致使令东谈主窘态的信息。”

Zveare称，其已于2025年8月向印度国度收罗救急反映机构CERT-In阐述该轻佻。轻佻在数周内得到开拓，但公司阐发技艺较晚，于11月底向收罗安沿路门作出厚爱评释。IT之家从报谈中获悉，商讨东谈主员示意，莫得迹象标明轻佻在修补前遭到诳骗。