Одна з найбільших аптечних мереж Індії, DavaIndia Pharmacy, зіткнулася з серйозною проблемою безпеки, яка дозволила стороннім отримати повний адміністративний контроль над її платформою. Через цю вразливість були відкриті дані клієнтів та критичні функції контролю лікарських засобів.
Про це розповідає ProIT
Витік даних та адміністративних функцій
Інцидент торкнувся мережі DavaIndia Pharmacy, що належить компанії Zota Healthcare, яка має понад 2 300 роздрібних аптек по всій Індії. Згідно з повідомленням дослідника з кібербезпеки Ітона Звеаре, вразливість була виявлена через небезпечні адміністративні інтерфейси на сайті DavaIndia. Це дозволяло неавторизованим користувачам створювати облікові записи «супер-адміністраторів» з розширеними правами доступу.
Завдяки такому рівню доступу зловмисники могли бачити тисячі онлайн-замовлень із персональною інформацією клієнтів, змінювати асортимент і ціни на препарати, створювати купони на знижки, а також керувати налаштуваннями щодо необхідності рецепта для певних медикаментів. За словами Звеаре, уразливі інтерфейси адміністратора залишалися відкритими з кінця 2024 року, що дозволило отримати доступ до близько 17 000 онлайн-замовлень і контролювати адміністрування в 883 аптеках. Додатково існувала можливість редагування контенту сайту, що могло призвести до його дефейсингу або порушення роботи.
Швидка реакція та ризики для приватності
Дані з аптечних замовлень є особливо чутливими, оскільки містять відомості про стан здоров’я, призначення ліків і приватні покупки. Навіть за відсутності доказів зловживання, такий витік створює суттєві ризики для конфіденційності та безпеки пацієнтів, значно перевищуючи інші категорії споживчої інформації.
“Customer information was linked to their orders,” said Zveare. “This includes name, phone numbers, email IDs, mailing addresses, total amount paid, and the products purchased. Since this is a pharmacy, the products being purchased could be considered private and even embarrassing for some people”.
Звеаре повідомив про інцидент національному агентству з реагування на кіберінциденти Індії (CERT-In) у серпні 2025 року. Вразливість була виправлена протягом кількох тижнів, хоча підтвердження від компанії надійшло лише наприкінці листопада. Дослідник зазначив, що немає жодних ознак того, що уразливість була використана до її усунення.
Керівник компанії Zota Healthcare Сужит Пол не прокоментував ситуацію. Тим часом, компанія продовжує динамічно розширювати мережу: лише у січні відкрито 276 нових аптек, а у найближчі два роки заплановано ще 1 200–1 500 точок.