印度最大藥局鏈資安漏洞曝光1.7萬筆處方箋，數位醫療隱私誰來守護？

一個程式漏洞，讓任何人都能取得1.7萬筆處方箋資料的完整存取權限。

印度最大藥局連鎖DavaIndia Pharmacy爆發嚴重資安漏洞，讓外部人員能完全控制其平台系統，不僅可查看客戶訂單資料，還能任意修改藥品價格、處方箋要求，甚至決定哪些藥物需要醫師處方。這起事件由資安研究員Eaton Zveare發現並向TechCrunch獨家披露，凸顯了數位醫療快速發展背後被忽視的安全風險。

快速擴張下的安全盲點

DavaIndia Pharmacy隸屬於Zota Healthcare集團，在印度全國營運超過2,300家門市。光是今年1月就新開了276家分店，並計劃在未來兩年內再增設1,200至1,500家門市。

然而，在這波快速擴張中，關鍵的資安防護似乎跟不上腳步。Zveare指出，漏洞自2024年底就已存在，影響範圍涵蓋883家門市的管理系統，以及近17,000筆線上訂單資料。

攻擊者透過這個漏洞，可以建立「超級管理員」帳戶，進而修改商品定價、變更處方箋要求、建立折扣優惠券，甚至篡改網站內容。最令人擔憂的是，駭客能隨意更改藥品的處方箋要求設定，這直接關係到病患用藥安全。

處方箋資料外洩的嚴重性

與一般個資外洩不同，處方箋資料包含極為敏感的健康資訊。外洩內容包括客戶姓名、電話、電郵、地址、付款金額，以及購買的具體藥品資訊。

「客戶的購藥記錄可能透露其健康狀況、用藥情形或其他私密購買行為」，Zveare表示，「對某些人來說，這些購買記錄可能令人感到尷尬或困擾。」

這種隱私風險在亞洲地區格外敏感。無論是台灣的健保雲端系統、香港的電子健康紀錄，還是新加坡的數位醫療平台，都面臨如何在提升便民服務與保護隱私間取得平衡的挑戰。

數位醫療的信任危機

Zveare已於2025年8月向印度國家網路安全應急回應機構CERT-In通報此漏洞，系統在數週內完成修復。Zota Healthcare執行長Sujit Paul尚未回應媒體詢問，但研究員表示沒有發現漏洞遭到惡意利用的跡象。

儘管問題已獲解決，但這起事件反映出數位醫療產業的深層問題：當科技公司大舉進軍醫療領域時，是否具備足夠的安全意識和合規文化？

在中國大陸，阿里健康、京東健康等平台已建立相對成熟的資安機制，但在其他亞洲市場，許多數位醫療新創仍在摸索階段。台灣的康是美、香港的屈臣氏等傳統藥局也正加速數位轉型，如何避免重蹈覆轍值得深思。

監管與自律的平衡

這起事件也突顯了跨國數位醫療服務的監管挑戰。印度作為全球數位醫療創新重鎮，其經驗對整個亞太地區具有指標意義。當地政府如何在促進創新與保障民眾隱私間找到平衡點，將影響其他國家的政策制定。

對華人地區而言，這起事件提醒我們：數位醫療的便利性不應以犧牲隱私安全為代價。無論是處方箋數位化、遠距醫療，還是AI診斷，都需要在技術創新的同時建立完善的安全防護機制。