印度药房连锁巨头泄露客户数据和内部系统

Source: TechCrunch

事件概述

安全研究员 Eaton Zveare 在 DavaIndia 网站上发现了不安全的 “超级管理员” 应用程序编程接口（APIs）。该漏洞允许任何人创建拥有高权限的超级管理员账户。Zveare 将此问题私下报告给印度网络安全部门，随后在公开帖子中披露了他的发现 此处。

范围与影响

• 易受攻击的管理员接口自 2024 年底起即已上线。
• 大约 17,000 笔线上订单 来自 883 家门店 被曝光。
• 曝光的数据包括客户姓名、电话号码、电子邮件地址、邮寄地址、支付总额以及具体购买的商品。
• 通过超级管理员访问，攻击者可以：
  • 查看并下载订单记录。
  • 修改商品列表、价格和折扣券。
  • 更改药品的处方要求设置。
  • 编辑网站内容，可能导致页面篡改或服务中断。

药房订单数据尤为敏感，因为它可以透露健康状况、用药方案或其他私人购买信息，因而引发更高的隐私和患者安全担忧。

漏洞细节

该缺陷源于 不安全的管理员接口，在创建超级管理员账户之前未进行身份验证。此设计错误使攻击者能够无限制地控制：

• 订单数据库。
• 商品和定价配置。
• 处方验证规则。
• 促销机制（例如折扣券）。

响应与缓解措施

• Zveare 于 2025 年 8 月向 CERT‑In（印度国家网络应急响应机构）报告了此漏洞。
• 该漏洞在数周内得到修补，尽管公司正式确认的时间直到 2025 年 11 月底才公布。
• 未发现该漏洞在修补前被利用的证据。

公司背景

Zota Healthcare 总部位于古吉拉特邦，运营着遍布印度的大型 DavaIndia 零售网络。近期的扩张亮点包括：

• 全国拥有 2,300 多家 DavaIndia 门店。
• 2026 年 1 月宣布新增 276 家门店 source。
• 计划在未来两年内再开设 1,200–1,500 家门店 source。

参考资料

• Eaton Zveare 的披露帖子：https://eaton-works.com/2026/02/13/dava-india-hack/
• Business Standard 关于新门店的文章：https://www.business-standard.com/markets/capital-market-news/zota-health-care-gains-after-adding-276-davaindia-stores-in-q3-fy26-126010200369_1.html
• MSN 关于未来扩张的报告：https://www.msn.com/en-in/lifestyle/pets-animals/zota-health-care-to-pump-rs-350-crore-into-dawa-india-plans-1-500-stores-in-two-years/ar-AA1SOVYR?apiversion=v2&domshim=1&noservercache=1&noservertelemetry=1&batchservertelemetry=1&renderwebcomponents=1&wcseo=1