Gigantul farmaceutic indian a expus datele clienților și sistemele interne

Alin
ModeratorAlin
2 Min Citire
Gigantul farmaceutic indian a expus datele clienților și sistemele interne

Problema de securitate la DavaIndia Pharmacy

O breșă de securitate la una dintre cele mai mari rețele farmaceutice din India a permis accesul externilor la controlul administrativ complet al platformei, expunând datele clienților și funcții sensibile de control al medicamentelor. Este vorba despre DavaIndia Pharmacy, divizia farmaceutică a Zota Healthcare, care operează o rețea extinsă de magazine de retail în India.

Descoperirea vulnerabilității

Cercetătorul în securitate Eaton Zveare a identificat această problemă după ce a găsit interfețe API de tip „super admin” nesigure pe site-ul DavaIndia și a raportat detaliile autorităților de cybersecurity din India. Bug-ul a fost remediat, iar Zveare a divulgat concluziile sale.

Impactul asupra afacerii

Zota Healthcare se află într-un proces rapid de expansiune a afacerii DavaIndia Pharmacy, având în prezent peste 2.300 de magazine DavaIndia în India, inclusiv 276 de unități noi anunțate în ianuarie, și planificând să deschidă între 1.200 și 1.500 de magazine în următorii doi ani.

Detalii despre breșa de securitate

Conform lui Zveare, problema a fost cauzată de interfețele administrative nesigure, care permiteau utilizatorilor neautentificați să creeze conturi de tip „super admin” cu privilegii ridicate. Această accesibilitate le-ar fi permis atacatorilor să vizualizeze mii de comenzi online, să modifice listele de produse și prețurile, să creeze cupoane de reducere și să schimbe setările referitoare la rețetele medicamentelor.

Detaliile expunerii datelor

Se estimează că interfețele administrative vulnerabile au fost active din anul 2024, expunând aproape 17.000 de comenzi online și controale administrative pentru 883 de magazine. Aceasta a permis modificări ale prețurilor produselor, cerințelor pentru rețete și ofertelor promoționale. Zveare a subliniat că accesul ar fi putut fi utilizat pentru defacere sau perturbare a conținutului site-ului.

Riscurile asociate cu expunerea datelor

Informațiile despre comenzile farmaceutice sunt deosebit de sensibile, deoarece pot dezvălui date despre condițiile de sănătate, medicamentele prescrise sau alte achiziții private. Expunerea acestor date, chiar și fără dovezi de utilizare abuzivă, prezintă riscuri sporite pentru confidențialitate și siguranța pacienților.

Raportarea și rezolvarea problemei

Zveare a raportat problema către CERT-In, agenția națională de răspuns la urgențele cibernetice din India, în august 2025. Vulnerabilitatea a fost remediată în câteva săptămâni, deși confirmarea din partea companiei a durat mai mult, fiind oferită autorităților cibernetice la sfârșitul lunii noiembrie.

Reacția conducerii Zota Healthcare

Sujit Paul, directorul executiv al Zota Healthcare, nu a răspuns la e-mailurile trimise de TechCrunch luna trecută. Zveare a menționat că nu există indicii că breșa a fost exploatată înainte de a fi corectată.

Concluzie

Breșa de securitate la DavaIndia Pharmacy subliniază importanța protecției datelor sensibile ale clienților în sectorul farmaceutic, având implicații semnificative pentru confidențialitate și siguranța pacienților.

Distribuie acest articol