印度药房巨头的数据泄露曝光数千名客户记录

印度最大制药零售商之一的重大安全漏洞暴露了敏感的客户和运营数据，可能被未授权访问。此次事件涉及由Zota Healthcare运营的DavaIndia药房，揭示了快速业务扩展有时会掩盖关键的网络安全措施。TechCrunch的调查发现，印度药房网络几乎没有保护其管理系统，任何具备基本技术知识的人都能获得对客户信息和门店运营的完全控制权。

未加密的管理员访问如何使客户数据面临风险

安全研究员Eaton Zveare发现，DavaIndia的平台存在安全措施不足的“超级管理员”API，访问无需验证。这一关键漏洞意味着任何人都可以创建高级管理员账户，并获得对药房全部运营的无限制访问权限。一旦进入，恶意行为者可以操控业务的几乎每个方面。

潜在的损害范围极广。攻击者可能访问包含个人健康信息的数千个客户订单，修改产品价格和库存，生成虚假促销码，甚至更危险的是，改变药品的处方要求——可能导致未经过适当验证的限制药物销售。这些脆弱的管理界面自2024年底起就已可用，系统暴露了数月之久。

在此期间，约有17,000个在线订单和883个印度药房门店的管理控制权受到威胁。这意味着处方规则、价格结构和促销优惠可能在未被检测或授权的情况下被修改。

印度药房连锁的快速扩张超越安全措施

DavaIndia的母公司Zota Healthcare在这一漏洞未被修复期间，正经历快速扩张。公司总部位于古吉拉特邦，目前在全国运营超过2,300家药房。2025年初，公司新开设了276个门店，并计划在未来两年内再开设1,200至1,500家门店。

这一增长轨迹反映了快速扩张企业的常见模式：基础设施的扩展有时比安全协议的落实和维护速度更快。

药房数据泄露的敏感性

客户药房记录代表了线上最私密的信息之一。与其他零售交易不同，药品购买可以揭示详细的健康状况、精神健康治疗、慢性疾病管理及其他深度个人医疗信息。此次印度泄露事件正暴露了这类数据。

Zveare的分析显示，受影响的订单数据包括客户姓名、电话号码、电子邮箱、邮寄地址、支付金额和详细购买记录。“这些信息可能对某些人来说非常私密甚至令人尴尬，”Zveare解释道，他指出药房产品常常涉及敏感的健康状况，用户希望保密。

事件的发现与解决

Zveare于2025年中向印度网络安全官员和CERT-In（印度国家网络安全应急响应团队）私下报告了他的发现。漏洞在最初报告后数周内得到修复。然而，根据Zveare的时间线，DavaIndia直到年底才向当局正式确认。

TechCrunch试图联系Zota Healthcare的CEO Sujit Paul发表评论，但未获回应。Zveare确认，目前没有证据显示在漏洞修复前有人恶意利用，但漏洞的存在已严重破坏了客户信任。

此次事件强调了在快速增长期间进行安全评估的重要性，以及企业——尤其是处理敏感药房和医疗数据的企业——必须保持强大的身份验证机制和定期安全审计。