印度大型連鎖藥局巨頭客戶數據及內部系統遭洩露

主題

最新

AI

Amazon

Apps

Biotech & Health

Climate

Cloud Computing

Commerce

Crypto

Enterprise

EVs

Fintech

Fundraising

Gadgets

Gaming

Google

Government & Policy

Hardware

Instagram

Layoffs

Media & Entertainment

Meta

Microsoft

Privacy

Robotics

Security

Social

Space

Startups

TikTok

Transportation

Venture

更多來自 TechCrunch

員工

活動

Startup Battlefield

StrictlyVC

新聞通訊

Podcast

影片

合作夥伴內容

TechCrunch Brand Studio

Crunchboard

聯絡我們

印度藥房連鎖巨頭暴露客戶數據和內部系統

TechCrunch 獨家獲悉，印度最大的藥房連鎖店之一的安全漏洞，導致外部人士獲得對其平台的完全管理控制權，暴露了客戶訂單數據和敏感的藥品管制功能。

該問題影響了 Zota Healthcare 的藥房部門 DavaIndia Pharmacy，該公司在印度各地經營著龐大的零售店網絡。安全研究員 Eaton Zveare 告訴 TechCrunch，他在 DavaIndia 網站上發現不安全的「超級管理員」應用程式介面後，發現了這個漏洞，並私下與印度網路安全機構分享了詳細資訊。

該錯誤現已修復，Zveare 公開了他的發現。

此次暴露發生在 Zota Healthcare 迅速擴大 DavaIndia Pharmacy 的零售業務之際。這家總部位於古吉拉特邦的公司在印度各地經營著 2,300 多家 DavaIndia 商店，包括 1 月份宣布的 276 家新店，並計劃在未來兩年內再增加 1,200 到 1,500 家。

Zveare 告訴 TechCrunch，該漏洞源於不安全的管理介面，允許未經身份驗證的使用者創建具有高權限的「超級管理員」帳戶。

研究人員表示，有了這種級別的訪問權限，攻擊者可以查看包含客戶資訊的數千個線上訂單，修改產品列表和價格，創建折扣券，以及更改控制某些藥品是否需要處方的設定。

根據系統時間戳，Zveare 說，易受攻擊的管理介面似乎自 2024 年底以來一直處於活動狀態。他說，該訪問暴露了近 17,000 個線上訂單和涵蓋 883 家商店的管理控制，允許更改產品定價、處方要求和促銷折扣。 Zveare 說，該訪問允許編輯網站內容，這些內容可用於破壞或擾亂。

藥房訂單數據可能特別敏感，因為它可能揭示有關個人健康狀況、藥物或其他私人購買的信息。與其他消費者資訊相比，即使沒有濫用證據，此類數據的暴露也會帶來更高的隱私和患者安全風險。

「客戶資訊與他們的訂單相關聯，」Zveare 說。「這包括姓名、電話號碼、電子郵件 ID、郵寄地址、支付的總金額和購買的產品。由於這是一家藥房，因此購買的產品可能被認為是私人的，甚至對某些人來說是令人尷尬的。」

Zveare 說，他於 2025 年 8 月向印度國家網路緊急應變機構 CERT-In 報告了該問題。該漏洞在幾週內得到修復，儘管來自該公司的確認花費了更長的時間，並於 11 月下旬提供給了網路安全機構，他說。

Zota Healthcare 的執行長 Sujit Paul 沒有回覆 TechCrunch 上個月發送的電子郵件。研究人員表示，沒有跡象表明該漏洞在修補之前已被利用。