تسريبات بيانات في عملاق الصيدليات الهندي تكشف عن آلاف سجلات العملاء

ثغرة أمنية كبيرة في أحد أكبر تجار الأدوية في الهند كشفت عن بيانات حساسة للعملاء والعمليات التجارية، مما يعرضها لخطر الوصول غير المصرح به. الحادث الذي وقع في صيدلية دافا إنديا، التي تديرها زوتا هيلث كير، يوضح كيف يمكن للتوسع السريع للأعمال أن يطغى أحيانًا على التدابير الأمنية الحيوية. كشفت تحقيقات TechCrunch أن شبكة الصيدليات الهندية تركت أنظمتها الإدارية بدون حماية تقريبًا، مما سمح لأي شخص يمتلك معرفة تقنية أساسية بالسيطرة الكاملة على معلومات العملاء وعمليات المتجر.

كيف ترك الوصول الإداري غير الآمن البيانات عرضة للخطر

اكتشف الباحث الأمني إيتون زفير أن منصة دافا إنديا كانت تحتوي على واجهات برمجة تطبيقات “مشرف عام” ضعيفة الحماية، والتي كانت تتطلب عدم وجود مصادقة للوصول إليها. هذه الثغرة الحرجة تعني أن أي شخص يمكنه إنشاء حسابات مسؤول عالية المستوى والحصول على وصول غير محدود إلى عمليات الصيدلية بأكملها. بمجرد الدخول، يمكن لمهاجم خبيث أن يعبث تقريبًا بجميع جوانب العمل.

كان نطاق الضرر المحتمل واسعًا. كان بإمكان المهاجمين الوصول إلى آلاف الطلبات من العملاء التي تحتوي على معلومات صحية شخصية، وتعديل أسعار المنتجات وتوافرها، وإنشاء رموز ترويجية احتيالية، والأخطر من ذلك، تغيير متطلبات الوصفات الطبية للأدوية — مما قد يتيح بيع أدوية مقيدة بدون التحقق الصحيح. كانت واجهات الإدارة الضعيفة متاحة منذ أواخر 2024، مما ترك النظام مكشوفًا لعدة أشهر.

خلال فترة التعرض هذه، بقي حوالي 17,000 طلب عبر الإنترنت وعمليات إدارية لـ 883 فرع صيدلية عبر الهند معرضة للخطر. مما يعني أن قواعد الوصفات، هياكل الأسعار، والعروض الترويجية كانت قابلة للتعديل دون اكتشاف أو إذن.

نمو سلسلة الصيدليات الهندية تفوق التدابير الأمنية

شركة زوتا هيلث كير، الشركة الأم لدافا إنديا، كانت تشهد توسعًا سريعًا بينما بقيت هذه الثغرة غير معالجة. تقع الشركة في غوجارات وتدير حاليًا أكثر من 2300 فرع صيدلية على مستوى البلاد. أطلقت مؤخرًا 276 فرعًا جديدًا في أوائل 2025 وتخطط لفتح ما بين 1200 و1500 متجر إضافي خلال العامين المقبلين.

هذا النمو السريع يسلط الضوء على نمط شائع في الشركات التي تتوسع بسرعة: التوسع في البنية التحتية يحدث أحيانًا بشكل أسرع من تنفيذ وصيانة بروتوكولات الأمان بشكل صحيح.

حساسية تسرب بيانات الصيدليات

سجلات العملاء في الصيدليات تمثل من بين أكثر المعلومات الشخصية حساسية المتاحة على الإنترنت. على عكس المعاملات التجارية الأخرى، فإن شراء الأدوية يمكن أن يكشف عن حالات صحية مفصلة، وعلاجات الصحة النفسية، وإدارة الأمراض المزمنة، وغيرها من المعلومات الطبية الشخصية جدًا. حادثة تسرب البيانات في الهند كشفت عن هذا النوع من البيانات تحديدًا.

وفقًا لتحليل زفير، شملت البيانات المخترقة أسماء العملاء، أرقام الهواتف، عناوين البريد الإلكتروني، عناوين المراسلة، مبالغ المدفوعات، وسجلات المشتريات المفصلة. وعلق زفير قائلًا: “هذه المعلومات قد تكون شخصية جدًا أو حتى محرجة لبعض الأفراد”، مشيرًا إلى أن منتجات الصيدلية غالبًا ما تشير إلى حالات صحية حساسة يفضل المستخدمون إبقاءها سرية.

اكتشاف وحل حادثة الصيدلية الهندية

قام زفير بإبلاغ نتائجه بشكل خاص إلى مسؤولي الأمن السيبراني في الهند وCERT-In (فريق الاستجابة للأمن السيبراني الوطني في الهند) في منتصف 2025. تم حل الثغرة خلال أسابيع من التقرير الأولي. ومع ذلك، لم يتم تأكيد الأمر رسميًا من قبل دافا إنديا إلا بنهاية العام، وفقًا لجدول زفير الزمني.

حاولت TechCrunch التواصل مع سوجيه بول، الرئيس التنفيذي لشركة زوتا هيلث كير، للتعليق، لكن لم تتلق ردًا. أكد زفير أنه لا توجد أدلة حالياً على استغلال الثغرة بشكل خبيث قبل إصلاحها، رغم أن وجودها بحد ذاته يمثل خرقًا كبيرًا لثقة العملاء.

تؤكد هذه الحادثة على الأهمية الحيوية لإجراء تقييمات أمنية خلال فترات النمو السريع، وعلى ضرورة أن تحافظ الشركات — خاصة تلك التي تتعامل مع بيانات حساسة للصيدليات والرعاية الصحية — على بروتوكولات مصادقة قوية وعمليات تدقيق أمني منتظمة.