Уязвимость в системе безопасности одной из крупнейших аптечных сетей Индии позволила посторонним получить полный административный контроль над ее платформой, раскрыв данные заказов клиентов и функции контроля за оборотом чувствительных препаратов, стало известно TechCrunch.
Проблема затронула DavaIndia Pharmacy, аптечное подразделение Zota Healthcare, которое управляет обширной сетью розничных точек по всей Индии. Исследователь безопасности Итон Звеаре (Eaton Zveare) сообщил TechCrunch, что обнаружил уязвимость после выявления небезопасных API «суперадминистратора» на веб-сайте DavaIndia и конфиденциально поделился деталями с индийскими органами по кибербезопасности.
Ошибка устранена, а Звеаре раскрыл свои выводы.
Утечка произошла на фоне стремительного расширения розничного бизнеса DavaIndia Pharmacy компанией Zota Healthcare. Компания со штаб-квартирой в Гуджарате управляет более чем 2300 магазинами DavaIndia по всей Индии, включая 276 новых точек, о которых было объявлено в январе, и планирует открыть еще 1200–1500 магазинов в течение следующих двух лет.
Звеаре сообщил TechCrunch, что уязвимость возникла из-за небезопасных административных интерфейсов, которые позволяли неаутентифицированным пользователям создавать учетные записи «суперадминистратора» с высокими привилегиями.
Обладая таким уровнем доступа, злоумышленник мог просматривать тысячи онлайн-заказов, содержащих информацию о клиентах, изменять списки товаров и цены, создавать купоны на скидку и изменять настройки, определяющие, требуется ли рецепт на определенные лекарства, сообщил исследователь.
Судя по временным меткам системы, уязвимые административные интерфейсы, по словам Звеаре, действовали с конца 2024 года. Утечка охватила почти 17 000 онлайн-заказов и административные функции, связанные с 883 магазинами, что позволило вносить изменения в цены на товары, требования к рецептам и рекламные скидки. Звеаре отметил, что доступ позволял редактировать контент веб-сайта, что могло быть использовано для его искажения или вывода из строя.
Данные аптечных заказов могут быть особенно конфиденциальными, поскольку они могут раскрывать информацию о состоянии здоровья человека, принимаемых лекарствах или других частных покупках. Раскрытие таких данных, даже при отсутствии доказательств их неправомерного использования, несет повышенные риски нарушения конфиденциальности и безопасности пациентов по сравнению с другой потребительской информацией.
«Информация о клиентах была связана с их заказами, — сказал Звеаре. — Это включало имя, номера телефонов, адреса электронной почты, почтовые адреса, общую сумму оплаты и приобретенные товары. Поскольку это аптека, приобретаемые товары могут считаться личными и даже вызывать смущение у некоторых людей».
Звеаре сообщил, что уведомил CERT-In, национальное агентство по реагированию на киберчрезвычайные ситуации Индии, в августе 2025 года. Уязвимость была устранена в течение нескольких недель, хотя подтверждение от компании заняло больше времени и было предоставлено кибервластям в конце ноября, сказал он.
Суджит Пол (Sujit Paul), генеральный директор Zota Healthcare, не ответил на электронные письма, отправленные TechCrunch в прошлом месяце. Исследователь заявил, что нет никаких признаков того, что уязвимость была использована до ее исправления.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jagmeet Singh
