一家印度藥房連鎖的資料外洩事件如何大規模曝光客戶隱私

印度最大藥房零售商之一的重大安全漏洞凸顯了醫療行業中配置不當的管理系統所帶來的危險。DavaIndia藥房，Zota Healthcare的子公司，遭遇的資料外洩事件使敏感的患者資訊——包括用藥歷史、個人聯絡資料和付款記錄——皆可被任何知曉漏洞的人存取。安全研究員Eaton Zveare發現了此漏洞，並透過正規渠道披露，引起人們對快速擴張的醫療公司忽視基本安全措施的關注。

被忽視的管理入口

這一技術漏洞集中在DavaIndia平台中未加密的「超級管理員」應用程式介面（API）。這些管理後門不需認證即可存取，意味著任何發現它們的人都能建立高級管理帳戶，並完全控制關鍵業務功能。

擁有超級管理員權限的攻擊者可以操控價格結構、修改處方規定、生成虛假促銷碼，甚至篡改整個網站。潛在的破壞範圍遠不止資料竊取——這是對營運完整性的根本破壞，可能導致印度數千名藥房顧客的服務中斷。

泄露威脅患者隱私

藥房訂單記錄的曝光尤其敏感。與其他零售交易不同，藥品購買揭示了個人健康狀況、治療方案和個人脆弱點的私密細節。被洩露的資料包括姓名、電話號碼、電子郵件、配送地址、交易金額和商品明細。

在漏洞期間，約有17,000筆訂單和883家實體店的管理憑證暴露。對於購買敏感藥物的個人——無論是慢性病、生殖健康還是心理健康相關——此類曝光不僅是商業上的不便，更是嚴重的隱私侵犯。

這些記錄直接連結客戶身份與其購買行為，意味著風險不僅限於孤立的資料點，而是整個與特定藥品需求相關的客戶資料庫。

Zota Healthcare的擴張與安全優先

事件發生於Zota Healthcare積極擴張的階段。該公司總部位於古吉拉特邦，在印度經營超過2,300家藥房。僅在近期幾個月內，新增了276個據點，並計劃在未來兩年內再建立1,200至1,500家店鋪。

這種快速擴張——雖然展現了業務成長——也引發了安全基礎設施是否跟上擴張步伐的疑問。建立堅實的安全措施通常需要有意的投資與規劃，過快的擴張可能無意中造成技術負債和配置疏漏。

從發現到解決的時間線

Zveare於2025年中向印度國家電腦緊急應變小組CERT-In通報了他的發現。根據Zveare的說法，該漏洞自2024年底起就已存在，造成長時間的資料和店務系統暴露。

問題在初次通報後數週內得到修復。然而，Zota Healthcare向主管機關正式承認此事直到2025年底才完成——技術解決與公司正式確認之間存在數月的延遲。

TechCrunch聯繫了Zota Healthcare的執行長Sujit Paul尋求評論，但未獲回應。Zveare表示，在修復前沒有證據顯示惡意行為者利用該漏洞。

這起印度安全事件揭示了什麼

DavaIndia事件凸顯了印度醫療和電子商務行業的關鍵教訓。首先，管理介面——無論其內部稱呼為何——都必須嚴格實施認證和存取控制。第二，快速擴張的同時，必須同步投入安全架構，不能將安全視為事後補充。

對於醫療公司而言，患者資料的監管和倫理責任要求從一開始就將安全融入系統設計，而非事後加裝。藥品記錄的曝光不僅影響個人用戶，更破壞了印度數位醫療基礎設施的整體信任。

隨著國家持續建立其藥品電子商務生態系統，類似事件提醒我們，沒有安全保障的成長只會為長遠成功埋下脆弱的基礎。