一家印度药房连锁的数据泄露如何大规模暴露客户隐私

印度最大药房零售商之一发生重大安全漏洞，凸显医疗行业中配置不当的管理系统带来的风险。Zota Healthcare旗下子公司DavaIndia药房的漏洞使敏感的患者信息——包括用药历史、个人联系方式和支付记录——对任何了解漏洞的人都可访问。安全研究员Eaton Zveare发现了该漏洞，并通过正规渠道披露，强调即使是快速扩张的医疗企业也可能忽视基本的安全措施。

被忽视的管理入口

技术漏洞集中在DavaIndia平台中未加密的“超级管理员”应用程序接口（API）上。这些管理后门无需验证即可访问，意味着任何发现它们的人都能建立高级管理账户，完全控制关键业务功能。

拥有超级管理员权限的攻击者可以操控价格结构、修改受管药物的处方要求、生成虚假促销码，甚至篡改整个网站。潜在的破坏范围远超数据盗窃——这是对运营完整性的根本破坏，可能导致印度数千名药房客户的服务中断。

泄露威胁患者隐私

药房订单记录的泄露尤为敏感。与其他零售交易不同，药品购买揭示了个人的健康状况、治疗方案和脆弱点。被泄露的数据包括姓名、电话号码、电子邮箱、配送地点、交易金额和详细商品清单。

在漏洞期间，约有17,000个订单和883个实体店的管理凭证暴露。对于购买敏感药物的个人——无论是慢性病、生殖健康还是心理健康相关——此类泄露不仅是商业不便，更是严重的隐私侵犯。

这些记录直接关联客户身份与其购买行为，意味着风险超出孤立的数据点，涉及与特定药品需求绑定的完整客户档案。

Zota Healthcare的扩张与安全优先级

事件发生时，Zota Healthcare正处于快速扩张阶段。公司总部位于古吉拉特邦，在印度运营超过2300家药房。仅在最近几个月，新增了276个门店，计划在未来两年内再开设1200至1500家。

这种快速扩张虽展现了业务增长，但也引发了安全基础设施是否跟上运营步伐的疑问。建立稳固的安全措施通常需要有意的投资和规划，过快的扩展可能无意中积累技术债务和配置疏漏。

时间线：从发现到修复

Zveare于2025年中向CERT-In（印度国家计算机应急响应团队）报告了他的发现。据Zveare介绍，该漏洞自2024年底起就已存在，造成了客户数据和门店管理系统的长时间暴露。

问题在最初报告后数周内得到修复。然而，Zota Healthcare向当局正式确认的时间直到2025年底——技术修复与公司正式声明之间存在数月延迟。

TechCrunch联系了Zota Healthcare的首席执行官Sujit Paul寻求评论，但未获回应。Zveare表示，在修复前没有证据显示恶意行为者利用该漏洞。

这起印度安全事件揭示了什么

DavaIndia事件强调了印度医疗和电子商务行业的关键教训。首先，无论内部如何命名，管理界面都必须实行严格的验证和访问控制。第二，快速扩张必须伴随相应的安全架构投资，而不能视为事后补充。

特别是对医疗企业而言，监管和伦理责任要求从一开始就将安全融入系统设计，而非事后加装。用药记录的泄露不仅影响个人用户，也削弱了公众对印度数字医疗基础设施的信任。

随着印度继续打造其药品电子商务生态系统，此类事件提醒我们，缺乏安全保障的增长只会为长远成功埋下脆弱的基础。