据外媒报道,印度规模最大的连锁药房企业之一DavaIndia近期遭遇重大网络安全事件。安全研究人员发现,该企业运营系统存严重技术缺陷,外部人员一度可通过漏洞获取平台最高管理权限,进而访问大量客户订单数据及核心业务管理功能。 DavaIndia在印度医药零售市场占据重要地位,目前运营门店超过2300家,并保持快速扩张态势。今年1月,该企业宣布新开276家门店,并计划在未来两年内再增设1200至1500家新店。此次安全事件的曝光,为其业务扩张蒙上阴影。 安全研究员伊顿·兹维尔在对该企业网站进行技术分析时,发现其后台管理系统中存在未加防护的应用程序接口。该接口本应设置严格的身份验证机制,但实际运行中却处于完全开放状态,使得任何掌握对应的技术的人员都能创建具有超级管理员权限的账户。 获得此类权限后,攻击者可实施多种危险操作:查看包含客户个人信息的数千笔在线订单记录,任意修改商品信息与价格体系,创建各类优惠券,甚至能够调整特定药品是否需要凭处方销售的管控要求。根据系统时间戳记录,该接口自2024年末起便处于不设防状态,持续时间长达数月。 此次漏洞波及范围广泛,涉及近1.7万笔订单数据,以及覆盖883家门店的管理权限。更为严重的是,这类访问权限还支持修改网站内容,理论上可被用于页面篡改或实施业务干扰行为。 与普通电商数据不同,药房订单信息具有极高的敏感性。这些数据往往直接关联个人健康状况、用药记录等核心隐私。兹维尔指出,客户信息与订单直接绑定,包括姓名、联系方式、电子邮箱、邮寄地址、支付金额以及具体购买的药品种类。对部分消费者来说,所购药品可能涉及个人隐私甚至令人难以启齿的健康问题,一旦泄露将造成严重后果。 发现漏洞后,兹维尔于今年8月向印度国家网络应急响应机构正式报告了这一安全隐患。该机构随即启动应急响应程序,漏洞在数周内得到修复。但DavaIndia上的反应相对迟缓,直至11月底才向网络安全主管部门作出正式说明。 需要指出,研究人员表示,目前没有证据显示该漏洞在修补前遭到恶意利用。但鉴于漏洞开放时间较长,是否存在未被发现的数据访问行为,仍需深入调查核实。 此次事件暴露出印度医药零售行业在数字化转型过程中存在的安全管理短板。随着线上药品销售规模不断扩大,如何在追求业务增长的同时确保系统安全与客户隐私保护,已成为行业必须正视的重要课题。
药房寄托着公众对健康服务的信任。此次事件警示我们:数字化带来便利的同时,必须通过严格的制度和技术手段守住数据安全底线。只有将安全视为"必选项"——而非"附加题"——才能为医疗零售的创新与扩张奠定坚实基础。