Утечки данных в индийском фармацевтическом гиганте раскрывают тысячи записей клиентов

Значительная уязвимость в области безопасности на одном из крупнейших аптечных ритейлеров Индии подвергла потенциальному несанкционированному доступу конфиденциальные данные клиентов и операционные сведения. Инцидент, связанный с DavaIndia Pharmacy, управляемой Zota Healthcare, показывает, как быстрое расширение бизнеса иногда затмевает важность критических мер кибербезопасности. Исследование TechCrunch выявило, что индийская аптечная сеть оставила свои административные системы практически без защиты, что позволило любому с базовыми техническими знаниями полностью контролировать информацию о клиентах и работу магазинов.

Как незащищённый административный доступ сделал данные клиентов уязвимыми

Исследователь безопасности Итон Звеаре обнаружил, что платформа DavaIndia содержала плохо защищённые API “супер-администратора”, к которым не требовалась аутентификация. Этот критический недостаток означал, что любой человек мог создать аккаунты высокоуровневых администраторов и получить неограниченный доступ ко всей деятельности аптеки. Попав внутрь, злоумышленник мог манипулировать практически всеми аспектами бизнеса.

Объем потенциального ущерба был значительным. Злоумышленники могли получить доступ к тысячам заказов клиентов, содержащих личную медицинскую информацию, изменять цены и наличие товаров, создавать фальшивые промо-коды и, что наиболее опасно, изменять требования к рецептам на лекарства — что могло привести к продаже ограниченных препаратов без должной проверки. Уязвимые административные интерфейсы были доступны с конца 2024 года, оставляя систему открытой в течение нескольких месяцев.

В течение этого периода было скомпрометировано около 17 000 онлайн-заказов и административных систем для 883 аптечных точек по всей Индии. Это означало, что правила назначения, ценовые структуры и рекламные акции могли быть изменены без обнаружения или разрешения.

Рост аптечной сети Индии опередил меры безопасности

Материнская компания DavaIndia, Zota Healthcare, продолжала быстро расширяться, пока эта уязвимость оставалась не устранённой. Основанная в Гуджарате, компания в настоящее время управляет более чем 2300 аптечными точками по всей стране. В начале 2025 года было открыто 276 новых филиалов, а в ближайшие два года планируется открыть ещё от 1200 до 1500 магазинов.

Этот рост отражает типичную проблему быстро масштабирующихся компаний: инфраструктура развивается быстрее, чем успевают внедрять и поддерживать меры безопасности.

Чувствительность утечки данных аптек

Записи клиентов аптек содержат одну из самых личных и конфиденциальных категорий информации в интернете. В отличие от других розничных транзакций, покупки лекарств могут раскрывать подробности о состоянии здоровья, психическом здоровье, хронических заболеваниях и других глубоко личных медицинских данных. Инцидент с утечкой в Индии как раз раскрыл именно такие данные.

По данным Звеаре, скомпрометированные данные заказов включали имена клиентов, номера телефонов, электронные адреса, почтовые адреса, суммы платежей и подробные записи о покупках. «Эта информация может быть очень личной или даже неловкой для некоторых людей», — объяснил Звеаре, отметив, что аптечные препараты часто указывают на чувствительные медицинские состояния, которые пользователи предпочитают держать в тайне.

Обнаружение и устранение инцидента в индийской аптечной сети

Звеаре лично сообщил о своих находках индийским специалистам по кибербезопасности и CERT-In (национальной команде реагирования на киберугрозы Индии) в середине 2025 года. Уязвимость была устранена в течение нескольких недель после первоначального сообщения. Однако официальное подтверждение от DavaIndia было предоставлено властям только к концу года, согласно хронологии Звеаре.

TechCrunch пытался связаться с Суджитом Полом, генеральным директором Zota Healthcare, для получения комментариев, но ответа не последовало. Звеаре подтвердил, что в настоящее время нет доказательств того, что уязвимость была использована злоумышленниками до её устранения, хотя сама по себе её существование является серьёзным нарушением доверия клиентов.

Этот инцидент подчеркивает важность проведения оценок безопасности в периоды быстрого роста и необходимость для компаний — особенно тех, кто работает с чувствительными данными о здоровье и фармацевтике — поддерживать строгие протоколы аутентификации и регулярные проверки безопасности.