印度一家大型连锁药房被曝其网站管理后台存在严重安全漏洞，曾在一段时间内对外暴露客户订单数据及内部药品管控功能。

据安全研究员Eaton Zveare向科技媒体TechCrunch披露，问题涉及Zota Healthcare旗下药房品牌DavaIndia Pharmacy。该品牌在印度运营大规模零售网络。Zveare称，他在DavaIndia网站上发现一个不安全的“超级管理员”应用程序接口，并随后将相关技术细节私下提交给印度国家网络应急响应机构CERT-In。

Zveare表示，漏洞源于管理接口缺乏有效认证机制，允许未登录用户创建拥有高权限的“超级管理员”账户。获得此类权限的攻击者，理论上可以访问平台的核心后台功能。

根据Zveare的描述，通过该接口可查看数千笔在线药房订单，其中包含客户姓名、电话号码、电子邮件地址、邮寄地址、支付总额及购买产品等信息；同时还可修改产品列表和价格、创建折扣券，并更改部分药品是否需要处方的设置。

他根据系统时间戳推断，这些易受攻击的管理接口自2024年底起已上线。相关访问权限覆盖近1.7万笔在线订单以及883家门店的后台管理控制，包括产品定价、处方要求和促销折扣等设置。Zveare还称，该权限可以编辑网站内容，存在被篡改或破坏的潜在风险。

Zveare指出，药房订单数据具有高度敏感性，因为相关信息可能反映个人健康状况、用药情况或其他隐私消费行为。他表示，即便目前没有滥用证据，此类数据暴露相较一般消费者信息，可能带来更高的隐私及患者安全风险。

“客户信息与订单相关联，”Zveare说，“包括姓名、电话号码、电子邮件地址、邮寄地址、支付总额及购买的产品。由于这是药房，购买的产品对某些人来说可能是私密甚至令人尴尬的。”

Zveare称，他于2025年8月向CERT-In报告了这一问题。漏洞在数周内得到修复，但公司向相关网络机构正式确认修复情况则花费更长时间，直至同年11月底才完成确认。漏洞修补后，Zveare公开了相关发现。

目前，尚无证据显示该漏洞在修复前曾被恶意利用。Zota Healthcare首席执行官Sujit Paul未就TechCrunch上月发出的置评请求作出回应。

此次事件发生时，Zota Healthcare正加速扩张DavaIndia Pharmacy的线下网络。该公司总部位于印度古吉拉特邦，在全国运营超过2300家DavaIndia门店，其中包括今年1月宣布新开的276家门店，并计划在未来两年内再新增1200至1500家门店。