印度藥房巨頭數據洩露曝光數千名客戶記錄

印度最大藥局零售商之一的重大安全漏洞，暴露了敏感的客戶和運營數據，可能遭受未經授權的存取。此事件涉及由Zota Healthcare經營的DavaIndia藥房，揭示了快速擴張有時會掩蓋關鍵的網絡安全措施。TechCrunch的調查發現，這個印度藥房網絡幾乎未對其管理系統進行保護，任何具備基本技術知識的人都能獲得對客戶資訊和商店運營的完全控制權。

不安全的管理員存取如何使客戶資料暴露

安全研究員Eaton Zveare發現，DavaIndia的平台存在安全措施不足的「超級管理員」API，該API不需要認證即可存取。這一嚴重漏洞意味著任何人都可以創建高級管理員帳戶，並獲得對藥房全部運作的無限制存取權。一旦入侵，惡意行為者可以操控幾乎所有業務層面。

潛在的損害範圍極為廣泛。攻擊者可能存取數千份包含個人健康資訊的客戶訂單，修改產品價格和庫存狀況，生成虛假促銷碼，甚至更危險的是，改變處方藥的需求—可能導致未經適當驗證就銷售受限制的藥品。這些脆弱的管理界面自2024年底起就已可被存取，系統暴露了數月之久。

在此期間，約有17,000筆線上訂單和883家印度藥房的管理控制權受到威脅。這意味著處方規則、定價結構和促銷優惠可能在未經授權的情況下被修改。

印度藥房連鎖的成長速度超越安全措施

DavaIndia的母公司Zota Healthcare在這一漏洞未被修補期間，正經歷快速擴張。該公司總部位於古吉拉特邦，目前在全國運營超過2,300家藥房。2025年初，該公司新開了276家門店，並計劃在未來兩年內再開設1,200至1,500家店。

這一成長軌跡反映出一個常見的模式：快速擴張的公司，其基礎設施擴建速度往往超過安全措施的實施與維護速度。

藥房資料洩露的敏感性

客戶的藥房記錄代表著一些最私密的線上資訊。與其他零售交易不同，藥品購買可以揭示詳細的健康狀況、精神健康治療、慢性疾病管理及其他深層個人醫療資訊。此次印度洩露事件正是暴露了這類數據。

根據Zveare的分析，洩露的訂單資料包括客戶姓名、電話號碼、電子郵件、郵寄地址、付款金額及明細購買記錄。「這些資訊對某些人來說可能非常私密甚至令人尷尬，」Zveare解釋道，並指出藥房產品常常涉及敏感的健康狀況，使用者希望保持隱私。

事件的發現與解決

Zveare於2025年中私下向印度網絡安全官員及CERT-In（印度國家網絡安全應對團隊）通報了他的調查結果。漏洞在最初通報後數週內得到修復。然而，根據Zveare的時間線，DavaIndia直到年底才正式向當局確認已解決問題。

TechCrunch試圖聯繫Zota Healthcare的CEO Sujit Paul尋求評論，但未獲回應。Zveare證實，目前沒有證據顯示在漏洞修復前有人惡意利用該安全缺陷，然而，漏洞的存在本身已構成對客戶信任的重大破壞。

此事件凸顯在快速成長階段進行安全評估的重要性，以及企業—尤其是處理敏感藥房和醫療資料的公司—必須維持嚴格的認證機制與定期安全審查。