【TechCrunch 2026年2月13日讯】印度知名医药连锁品牌DavaIndia Pharmacy曝出严重数据安全漏洞,因平台超级管理员接口存在安全隐患,外部人员可未经认证获取平台最高管理权限,导致海量用户私密订单信息、883家门店的核心管理系统及药品管控功能面临泄露风险。该漏洞由安全研究员发现并上报后已完成修复,所幸暂无证据表明漏洞被恶意利用,此次事件也为快速扩张中的印度医药零售行业敲响数据安全警钟。
DavaIndia Pharmacy是印度Zota Healthcare旗下核心医药零售板块,总部位于古吉拉特邦,目前在印度境内运营超2300家线下门店,今年1月刚宣布新增276家门店,还计划未来两年再拓展1200至1500家门店,是印度规模最大的医药连锁企业之一。此次漏洞的发现者、安全研究员伊顿·兹维尔(Eaton Zveare)透露,漏洞根源在于DavaIndia官网的“超级管理员”应用程序接口(API)缺乏安全防护,未授权用户可通过该漏洞直接创建高权限超级管理员账户,进而完全掌控平台系统。
根据系统时间戳显示,该存在安全隐患的管理接口自2024年末便已上线,漏洞暴露期间,平台近1.7万条线上订单信息遭到泄露,涉及883家门店的全流程管理权限。攻击者一旦获取权限,不仅能查看所有订单对应的用户姓名、手机号、邮箱、邮寄地址、支付金额及购买药品明细等核心信息,还可随意修改平台商品名录与定价、创建折扣券,甚至能篡改处方药的购买管控设置,直接改变部分药品是否需要处方才能购买的规则,同时还能编辑网站内容,存在网站篡改、业务中断的潜在风险。
与普通消费数据不同,医药订单数据具有极高的私密性,其背后关联着用户的健康状况、用药史等敏感信息,部分药品的购买记录甚至会让用户产生隐私顾虑。兹维尔强调,此次泄露的订单信息实现了用户身份与购买行为的精准关联,即便没有证据证明信息被滥用,也已给用户隐私和用药安全带来极大威胁,这类数据的泄露所引发的风险远高于普通消费信息。
据悉,兹维尔在2025年8月便已将该漏洞上报至印度国家网络应急响应中心(CERT-In),相关漏洞在数周内完成修复,但Zota Healthcare直至2025年11月末才向印度网络安全部门提交漏洞修复确认文件。截至目前,Zota Healthcare首席执行官苏吉特·保罗(Sujit Paul)尚未对此次数据漏洞事件作出任何回应,而安全研究员表示,暂无迹象表明该漏洞在修复前被不法分子利用。
此次DavaIndia Pharmacy的数据安全漏洞,发生在企业加速线下门店扩张、数字化业务快速推进的关键阶段,暴露出部分印度零售企业在规模扩张过程中,对数字化系统安全防护的忽视。医药行业作为涉及民生健康与用户核心隐私的特殊领域,其平台系统不仅承载着用户信息管理,还关联着药品管控等关键功能,系统安全直接关乎公共健康与用药安全。此次事件也为印度乃至全球医药零售企业敲响警钟,在数字化转型与业务扩张的同时,需将数据安全与系统防护放在同等重要的位置,避免因安全漏洞引发隐私泄露与公共安全风险。
