Как стало известно TechCrunch из эксклюзивных источников, сбой в системе безопасности одной из крупнейших аптечных сетей Индии позволил посторонним получить полный административный контроль над ее платформой, что привело к утечке данных о заказах клиентов и конфиденциальных функций управления лекарственными препаратами.
Проблема затронула DavaIndia Pharmacy, аптечное подразделение Zota Healthcare, которое управляет обширной сетью розничных магазинов по всей Индии. Исследователь в области безопасности Итон Звеаре рассказал TechCrunch, что обнаружил уязвимость после выявления небезопасных интерфейсов прикладного программирования «супер-администратора» на веб-сайте DavaIndia и конфиденциально поделился подробностями с индийскими органами по кибербезопасности.
Ошибка исправлена, и Звеаре поделился результатами своих исследований.
Эта информация появилась на фоне стремительного расширения розничного бизнеса DavaIndia Pharmacy компанией Zota Healthcare. Компания со штаб-квартирой в Гуджарате управляет более чем 2300 магазинами DavaIndia по всей Индии, включая 276 новых торговых точек, о которых было объявлено в январе, и планирует открыть еще от 1200 до 1500 магазинов в течение следующих двух лет.
Звеаре рассказал TechCrunch, что уязвимость возникла из-за небезопасных административных интерфейсов, которые позволяли неавторизованным пользователям создавать учетные записи «супер-администраторов» с высокими привилегиями.
По словам исследователя, при таком уровне доступа злоумышленник мог бы просмотреть тысячи онлайн-заказов, содержащих информацию о клиентах, изменить описания товаров и цены, создать купоны на скидку и изменить настройки, определяющие, требуется ли рецепт на определенные лекарства.
По словам Звеаре, основываясь на системных временных метках, уязвимые административные интерфейсы, по всей видимости, были активированы с конца 2024 года. Он сообщил, что доступ к системе позволил получить доступ к почти 17 000 онлайн-заказов и административным элементам управления в 883 магазинах, что дало возможность изменять цены на товары, требования к рецептам и рекламные скидки. Звеаре также отметил, что доступ позволил вносить изменения в контент веб-сайта, которые могли быть использованы для взлома или нарушения работы системы.
Данные о заказах в аптеке могут быть особенно конфиденциальными, поскольку они могут раскрывать информацию о состоянии здоровья человека, принимаемых лекарствах или других личных покупках. Раскрытие таких данных, даже без доказательств неправомерного использования, сопряжено с повышенными рисками для конфиденциальности и безопасности пациентов по сравнению с другой потребительской информацией.
«Информация о клиентах была связана с их заказами, — сказала Звеаре. — Это включает в себя имя, номера телефонов, адреса электронной почты, почтовые адреса, общую сумму оплаты и приобретенные товары. Поскольку это аптека, информация о приобретаемых товарах может считаться конфиденциальной и даже вызывать смущение у некоторых людей».
Звеаре заявил, что сообщил о проблеме в CERT-In, национальное агентство Индии по реагированию на киберчрезвычайные ситуации, в августе 2025 года. По его словам, уязвимость была устранена в течение нескольких недель, хотя подтверждение от компании заняло больше времени и было предоставлено кибер-организациям только в конце ноября.
Суджит Пол, генеральный директор Zota Healthcare, не ответил на электронные письма, отправленные TechCrunch в прошлом месяце. Исследователь заявил, что нет никаких признаков того, что уязвимость была использована злоумышленниками до того, как она была исправлена.
Источник: techcrunch.com
