newsence
來源篩選

Indian Pharmacy Chain Giant Exposed Customer Data and Internal Systems

Techcrunch

A backend flaw in web admin dashboards used by one of India's largest pharmacy chains, exposed thousands of online pharmacy orders.

newsence

印度大型連鎖藥局巨頭客戶數據及內部系統遭洩露

Techcrunch
15 天前

AI 生成摘要

印度大型連鎖藥局之一 DavaIndia Pharmacy 的後端網頁管理儀表板出現漏洞,導致數千筆線上藥局訂單以及其平台的管理權限外洩。安全研究員 Eaton Zveare 發現了此漏洞,並已通報印度網絡安全當局。

印度藥房連鎖巨頭暴露客戶數據和內部系統 | TechCrunch

圖片 圖片

主題

最新

AI

Amazon

Apps

Biotech & Health

Climate

Cloud Computing

Commerce

Crypto

Enterprise

EVs

Fintech

Fundraising

Gadgets

Gaming

Google

Government & Policy

Hardware

Instagram

Layoffs

Media & Entertainment

Meta

Microsoft

Privacy

Robotics

Security

Social

Space

Startups

TikTok

Transportation

Venture

更多來自 TechCrunch

員工

活動

Startup Battlefield

StrictlyVC

新聞通訊

Podcast

影片

合作夥伴內容

TechCrunch Brand Studio

Crunchboard

聯絡我們

圖片

印度藥房連鎖巨頭暴露客戶數據和內部系統

TechCrunch 獨家獲悉,印度最大的藥房連鎖店之一的安全漏洞,導致外部人士獲得對其平台的完全管理控制權,暴露了客戶訂單數據和敏感的藥品管制功能。

該問題影響了 Zota Healthcare 的藥房部門 DavaIndia Pharmacy,該公司在印度各地經營著龐大的零售店網絡。安全研究員 Eaton Zveare 告訴 TechCrunch,他在 DavaIndia 網站上發現不安全的「超級管理員」應用程式介面後,發現了這個漏洞,並私下與印度網路安全機構分享了詳細資訊。

該錯誤現已修復,Zveare 公開了他的發現。

此次暴露發生在 Zota Healthcare 迅速擴大 DavaIndia Pharmacy 的零售業務之際。這家總部位於古吉拉特邦的公司在印度各地經營著 2,300 多家 DavaIndia 商店,包括 1 月份宣布的 276 家新店,並計劃在未來兩年內再增加 1,200 到 1,500 家。

Zveare 告訴 TechCrunch,該漏洞源於不安全的管理介面,允許未經身份驗證的使用者創建具有高權限的「超級管理員」帳戶。

研究人員表示,有了這種級別的訪問權限,攻擊者可以查看包含客戶資訊的數千個線上訂單,修改產品列表和價格,創建折扣券,以及更改控制某些藥品是否需要處方的設定。

根據系統時間戳,Zveare 說,易受攻擊的管理介面似乎自 2024 年底以來一直處於活動狀態。他說,該訪問暴露了近 17,000 個線上訂單和涵蓋 883 家商店的管理控制,允許更改產品定價、處方要求和促銷折扣。 Zveare 說,該訪問允許編輯網站內容,這些內容可用於破壞或擾亂。

藥房訂單數據可能特別敏感,因為它可能揭示有關個人健康狀況、藥物或其他私人購買的信息。與其他消費者資訊相比,即使沒有濫用證據,此類數據的暴露也會帶來更高的隱私和患者安全風險。

「客戶資訊與他們的訂單相關聯,」Zveare 說。「這包括姓名、電話號碼、電子郵件 ID、郵寄地址、支付的總金額和購買的產品。由於這是一家藥房,因此購買的產品可能被認為是私人的,甚至對某些人來說是令人尷尬的。」

Zveare 說,他於 2025 年 8 月向印度國家網路緊急應變機構 CERT-In 報告了該問題。該漏洞在幾週內得到修復,儘管來自該公司的確認花費了更長的時間,並於 11 月下旬提供給了網路安全機構,他說。

Zota Healthcare 的執行長 Sujit Paul 沒有回覆 TechCrunch 上個月發送的電子郵件。研究人員表示,沒有跡象表明該漏洞在修補之前已被利用。

主題

圖片

記者

Jagmeet 為 TechCrunch 報導來自印度的初創公司、與科技政策相關的更新以及所有其他以科技為中心的主要發展。他之前曾在 NDTV 擔任首席記者。

您可以透過發送電子郵件至 mail@journalistjagmeet.com 聯絡或驗證來自 Jagmeet 的外展活動。

圖片

門票以今年最低的價格發售。立即節省高達 680 美元的通行證。與投資者會面。發現您的下一個投資組合公司。聆聽 250 多位科技領袖的演講,深入研究 200 多個會議,並探索 300 多家正在構建未來的初創公司。不要錯過這些一次性節省。

最受歡迎

Spotify 表示,由於 AI,其最好的開發人員自 12 月以來沒有編寫任何程式碼

Spotify 表示,由於 AI,其最好的開發人員自 12 月以來沒有編寫任何程式碼

隨著聯合創始人離開和首次公開募股即將到來,伊隆·馬斯克將話題轉向月球

隨著聯合創始人離開和首次公開募股即將到來,伊隆·馬斯克將話題轉向月球

倦怠的第一個跡象來自於最擁抱 AI 的人

倦怠的第一個跡象來自於最擁抱 AI 的人

MrBeast 的公司收購了以 Z 世代為中心的金融科技應用程式 Step

MrBeast 的公司收購了以 Z 世代為中心的金融科技應用程式 Step

YouTube TV 推出更便宜的套餐,包括每月 65 美元的體育套餐

YouTube TV 推出更便宜的套餐,包括每月 65 美元的體育套餐

Discord 將於下個月推出年齡驗證

Discord 將於下個月推出年齡驗證

從 Svedka 到 Anthropic,品牌在超級盃廣告中大膽運用 AI

從 Svedka 到 Anthropic,品牌在超級盃廣告中大膽運用 AI

圖片

© 2025 TechCrunch Media LLC.