Одна из крупнейших аптечных сетей Индии, DavaIndia Pharmacy, столкнулась с серьезной проблемой безопасности, которая позволила сторонним получить полный административный контроль над ее платформой. Из-за этой уязвимости были раскрыты данные клиентов и критически важные функции контроля лекарственных средств.
Об этом сообщает ProIT
Утечка данных и административных функций
Инцидент затронул сеть DavaIndia Pharmacy, принадлежащую компании Zota Healthcare, которая имеет более 2 300 розничных аптек по всей Индии. Согласно сообщению исследователя в области кибербезопасности Итана Звеаре, уязвимость была обнаружена через небезопасные административные интерфейсы на сайте DavaIndia. Это позволяло неавторизованным пользователям создавать учетные записи «супер-администраторов» с расширенными правами доступа.
Благодаря такому уровню доступа злоумышленники могли видеть тысячи онлайн-заказов с личной информацией клиентов, изменять ассортимент и цены на препараты, создавать купоны на скидки, а также управлять настройками по необходимости рецепта для определенных медикаментов. По словам Звеаре, уязвимые интерфейсы администратора оставались открытыми с конца 2024 года, что позволило получить доступ к около 17 000 онлайн-заказов и контролировать администрирование в 883 аптеках. Дополнительно существовала возможность редактирования контента сайта, что могло привести к его дефейсингу или нарушению работы.
Быстрая реакция и риски для конфиденциальности
Данные из аптечных заказов являются особенно чувствительными, поскольку содержат сведения о состоянии здоровья, назначении лекарств и частных покупках. Даже при отсутствии доказательств злоупотребления такая утечка создает существенные риски для конфиденциальности и безопасности пациентов, значительно превышающие другие категории потребительской информации.
«Информация о клиентах была связана с их заказами,» сказал Звеаре. «Это включает имя, номера телефонов, адреса электронной почты, почтовые адреса, общую сумму, уплаченную за товары, и приобретенные продукты. Поскольку это аптека, приобретаемые продукты могут считаться частными и даже смущающими для некоторых людей».
Звеаре сообщил о инциденте национальному агентству по реагированию на киберинциденты Индии (CERT-In) в августе 2025 года. Уязвимость была исправлена в течение нескольких недель, хотя подтверждение от компании поступило только в конце ноября. Исследователь отметил, что нет никаких признаков того, что уязвимость была использована до ее устранения.
Руководитель компании Zota Healthcare Сужит Пол не прокомментировал ситуацию. Тем временем, компания продолжает динамично расширять сеть: только в январе было открыто 276 новых аптек, а в ближайшие два года запланировано еще 1 200–1 500 точек.