كيف كشف خرق بيانات سلسلة صيدليات هندية عن خصوصية العملاء على نطاق واسع

ثغرة أمنية كبيرة في أحد أكبر تجار الصيدلة في الهند سلطت الضوء على مخاطر أنظمة الإدارة غير المهيأة بشكل جيد في قطاع الرعاية الصحية. الاختراق في صيدلية دافا إنديا، التابعة لشركة زوتا للرعاية الصحية، ترك معلومات حساسة عن المرضى—بما في ذلك سجل الأدوية، تفاصيل الاتصال الشخصية، وسجلات الدفع—متاحة لأي شخص يعرف الثغرة. اكتشف الباحث الأمني إيتون زفير أن العيب وأبلغه عبر القنوات الرسمية، مما جذب الانتباه إلى كيف أن الشركات الصحية التي تتوسع بسرعة قد تتجاهل ممارسات الأمان الأساسية.

البوابة الإدارية المهملة

ركزت الثغرة التقنية على واجهات برمجة التطبيقات (APIs) غير المؤمنة لـ"المشرف العام" المدمجة في منصة دافا إنديا. كانت هذه الأبواب الخلفية الإدارية تتطلب عدم وجود مصادقة للوصول، مما يعني أن أي شخص يكتشفها يمكنه إنشاء حسابات إدارية عالية المستوى والحصول على السيطرة الكاملة على الوظائف الحيوية للأعمال.

باستخدام صلاحيات المشرف العام، كان المهاجم قادرًا على تعديل أسعار المنتجات، وتغيير متطلبات الوصفات للأدوية المنظمة، وإنشاء رموز ترويجية مزورة، وحتى تشويه الموقع الإلكتروني بالكامل. نطاق الضرر المحتمل كان يتجاوز سرقة البيانات—بل كان خرقًا جوهريًا لنزاهة العمليات، مما قد يعرقل خدمات الآلاف من عملاء الصيدليات في جميع أنحاء الهند.

عندما تهدد التسريبات خصوصية المرضى

كشف سجلات طلبات الصيدلية عن حساسية خاصة. على عكس المعاملات التجارية الأخرى، تكشف مشتريات الأدوية عن تفاصيل حميمة حول حالات الصحة، والعلاجات، والضعف الشخصي للفرد. البيانات المخترقة شملت الأسماء، أرقام الهواتف، عناوين البريد الإلكتروني، مواقع الشحن، مبالغ المعاملات، وقوائم المنتجات المفصلة.

ظل حوالي 17000 طلب وبيانات اعتماد إدارية لـ883 فرعًا فعليًا معرضة للخطر خلال فترة الثغرة. بالنسبة للأشخاص الذين يشترون أدوية حساسة—سواء كانت تتعلق بأمراض مزمنة، أو صحة الإنجاب، أو الصحة النفسية—فإن هذا التعرض يتجاوز الإزعاج التجاري إلى انتهاك حقيقي للخصوصية.

كانت السجلات تربط بشكل مباشر بين هويات العملاء وشراءاتهم، مما يعني أن الخطر لم يقتصر على نقاط بيانات معزولة بل امتد إلى ملفات تعريف كاملة للعملاء مرتبطة باحتياجاتهم الدوائية المحددة.

توسع زوتا للرعاية الصحية وأولويات الأمان

وقع الحادث خلال مرحلة توسع نشطة لشركة زوتا للرعاية الصحية. مقرها في غوجارات، تدير الشركة أكثر من 2300 صيدلية في الهند. في الأشهر الأخيرة فقط، أضافت 276 فرعًا، وتخطط لإنشاء بين 1200 و1500 متجر إضافي خلال العامين المقبلين.

هذا النمو السريع—رغم أنه يدل على نجاح الأعمال—يثير تساؤلات حول ما إذا كانت البنية التحتية للأمان قد تواكبت مع التوسع التشغيلي. بناء ممارسات أمان قوية يتطلب استثمارًا وتخطيطًا متعمدين، والتوسع بسرعة كبيرة قد يخلق ديونًا تقنية وتجاهلًا في التكوينات.

الجدول الزمني: من الاكتشاف إلى الحل

أبلغ زفير عن اكتشافه إلى CERT-In، فريق الاستجابة للطوارئ الحاسوبية الوطني في الهند، في منتصف 2025. وفقًا لحساباته، استمرت الثغرة منذ أواخر 2024، مما خلق نافذة طويلة للتعرض لبيانات العملاء وأنظمة إدارة المتاجر.

تم تصحيح المشكلة خلال أسابيع من التقرير الأولي. ومع ذلك، لم يتم الاعتراف الرسمي من قبل زوتا للرعاية الصحية للسلطات حتى أواخر 2025—أي بفارق عدة أشهر بين الحل التقني والتأكيد الرسمي من الشركة.

تواصلت TechCrunch مع المدير التنفيذي لشركة زوتا، سوجيت بول، للتعليق، لكن لم تتلقَ ردًا. أشار زفير إلى عدم وجود أدلة على استغلال الثغرة من قبل جهات خبيثة قبل التصحيح.

ما تكشفه هذه الحادثة الأمنية في الهند

تؤكد حادثة دافا إنديا على دروس مهمة لقطاعات الرعاية الصحية والتجارة الإلكترونية في الهند. أولاً، يجب أن تتطلب الواجهات الإدارية—بغض النظر عن تسميتها الداخلية—مصادقة صارمة وضوابط وصول. ثانيًا، يجب أن يدمج التوسع السريع استثمارات مقابلة في بنية الأمان، وعدم التعامل معه كأمر ثانوي.

بالنسبة لشركات الرعاية الصحية تحديدًا، فإن الالتزامات التنظيمية والأخلاقية المتعلقة ببيانات المرضى تتطلب أن يُبنى الأمان في الأنظمة من البداية، وليس أن يُضاف لاحقًا. إن كشف سجلات الأدوية لا يؤثر فقط على المستخدمين الأفراد، بل يقوض الثقة الأوسع في البنية التحتية الرقمية للرعاية الصحية في الهند.

مع استمرار البلاد في بناء منظومة التجارة الإلكترونية الصيدلانية، تظل حوادث كهذه تذكيرًا بأن النمو بدون أمان يخلق أسسًا هشة للنجاح على المدى الطويل.