编者按:在数字时代,数据安全已成为企业与消费者共同的生命线。近日,印度大型连锁药房DavaIndia曝出重大安全漏洞,外部人员竟能轻易获取平台超级管理员权限,导致近1.7万笔订单数据与敏感药品管控功能暴露于风险之中。这起事件不仅揭示了医疗健康领域数据保护的脆弱性,更敲响了企业数字化转型中安全架构的警钟。当购药记录、个人住址甚至处方需求都可能被随意窥探时,我们不得不反思:在追求商业扩张的速度时,是否遗忘了守护用户隐私的底线?以下为事件详细报道。
印度最大连锁药房之一因安全疏漏,导致外部人员获得其平台的完全管理控制权,致使客户订单数据及敏感药品管控功能暴露——TechCrunch独家获悉此事。
此次事件波及Zota Healthcare旗下的药房业务板块DavaIndia Pharmacy。该企业在印度运营着庞大的零售门店网络。安全研究员伊顿·兹维尔向TechCrunch透露,他在DavaIndia网站上发现存在不安全的“超级管理员”应用程序接口后识别出该漏洞,随后将详细信息私下提交给了印度网络安全部门。
目前该漏洞已修复,兹维尔公开了他的发现。
此次数据暴露事件发生时,Zota Healthcare正快速扩张DavaIndia Pharmacy的零售业务。这家总部位于古吉拉特邦的企业在印度拥有超过2300家DavaIndia门店,其中276家为今年1月新开设,并计划在未来两年内再增加1200至1500家门店。
兹维尔指出,该漏洞源于不安全的后台管理界面,使得未经认证的用户能够创建具有高级权限的“超级管理员”账户。
研究人员表示,攻击者凭借此权限可查看包含客户信息的数千条在线订单、修改商品信息与价格、创建优惠券,甚至调整特定药品是否需要处方的管控设置。
根据系统时间戳记录,兹维尔称这些存在漏洞的管理界面自2024年底起便处于暴露状态。此次泄露涉及近1.7万笔在线订单及覆盖883家门店的管理权限,攻击者可借机更改商品定价、处方要求与促销折扣。兹维尔强调,此权限甚至允许编辑网站内容,可能导致页面篡改或服务中断。
药房订单数据具有特殊敏感性,因其可能透露个人健康状况、用药记录或其他私密购买信息。即使暂无滥用证据,此类数据的泄露相比普通消费信息,往往意味着更高的隐私风险与患者安全隐患。
“客户信息与其订单直接关联,”兹维尔解释道,“包括姓名、电话号码、电子邮箱、邮寄地址、支付总额及所购商品。由于涉及药品,某些购买记录可能被视为隐私,甚至令部分人感到难堪。”
兹维尔于2025年8月向印度国家网络应急响应中心报告此问题。漏洞在数周内得以修复,但企业确认耗时较长,直至11月下旬才向网络安全部门正式反馈。
Zota Healthcare首席执行官苏吉特·保罗未回应TechCrunch上月发出的问询邮件。研究人员表示,暂无证据表明该漏洞在修复前遭到恶意利用。
