O breșă de securitate la unul dintre cele mai mari lanțuri farmaceutice din India a permis unor terți să obțină control administrativ complet asupra platformei sale, expunând datele comenzilor clienților și funcțiile sensibile de control al medicamentelor, a aflat TechCrunch în exclusivitate.
Problema a afectat DavaIndia Pharmacy, divizia farmaceutică a Zota Healthcare, care operează o rețea extinsă de puncte de vânzare cu amănuntul în India. Cercetătorul în securitate Eaton Zveare a declarat pentru TechCrunch că a descoperit defectul după ce a identificat interfețe de programare a aplicațiilor „super admin” nesigure pe site-ul DavaIndia și a împărtășit în privat detaliile cu autoritățile indiene de securitate cibernetică. Eroarea este acum remediată, iar Zveare și-a dezvăluit descoperirile.
Expunerea vine în timp ce Zota Healthcare extinde rapid activitatea de vânzare cu amănuntul a DavaIndia Pharmacy. Compania cu sediul în Gujarat operează peste 2.300 de magazine DavaIndia în India, inclusiv 276 de noi puncte de vânzare anunțate în ianuarie, și intenționează să adauge încă 1.200 până la 1.500 în următorii doi ani.
Zveare a declarat pentru TechCrunch că defectul a provenit din interfețe de administrare nesigure, care au permis utilizatorilor neautentificați să creeze conturi de „super admin” cu privilegii înalte. Cu acest nivel de acces, un atacator ar putea vizualiza mii de comenzi online care conțin informații despre clienți, ar putea modifica listările de produse și prețurile, ar putea crea cupoane de reducere și ar putea schimba setările care guvernează dacă anumite medicamente necesită rețetă, a spus cercetătorul.
Pe baza marcajelor temporale ale sistemului, Zveare a spus că interfețele administrative vulnerabile păreau să fie live de la sfârșitul anului 2024. Accesul a expus aproape 17.000 de comenzi online și controale administrative care acoperă 883 de magazine, a spus el, permițând modificări ale prețurilor produselor, cerințelor de rețetă și reducerilor promoționale.
Zveare a spus că accesul a permis editarea conținutului site-ului web care ar fi putut fi folosit pentru defăimare sau perturbare. Datele comenzilor de farmacii pot fi deosebit de sensibile, deoarece pot dezvălui informații despre afecțiunile medicale, medicamentele sau alte achiziții private ale unei persoane. Expunerea unor astfel de date, chiar și fără dovezi de utilizare abuzivă, implică riscuri sporite de confidențialitate și siguranță a pacienților în comparație cu alte informații despre consumatori.
„Informațiile despre clienți erau legate de comenzile lor”, a spus Zveare. „Aceasta include nume, numere de telefon, ID-uri de e-mail, adrese poștale, suma totală plătită și produsele achiziționate. Deoarece aceasta este o farmacie, produsele achiziționate ar putea fi considerate private și chiar jenante pentru unii oameni.”
Zveare a spus că a raportat problema către CERT-In, agenția națională de răspuns la urgențe cibernetice din India, în august 2025. Vulnerabilitatea a fost remediată în câteva săptămâni, deși confirmarea din partea companiei a durat mai mult și a fost furnizată autorităților cibernetice la sfârșitul lunii noiembrie, a spus el.
Sujit Paul, directorul executiv al Zota Healthcare, nu a răspuns la e-mailurile trimise de TechCrunch luna trecută. Cercetătorul a spus că nu există nicio indicație că defectul a fost exploatat înainte de a fi corectat.