Витоки даних у індійському фармацевтичному гіганті викривають тисячі записів клієнтів

Значна вразливість у безпеці одного з найбільших фармацевтичних роздрібних продавців Індії відкрила доступ до конфіденційних даних клієнтів та операційної інформації потенційно несанкціонованим особам. Інцидент із DavaIndia Pharmacy, яким керує Zota Healthcare, показує, як швидке розширення бізнесу іноді може затінити критичні заходи кібербезпеки. Розслідування TechCrunch виявило, що індійська мережа аптек залишила свої адміністративні системи майже без захисту, що дозволило будь-кому з базовими технічними знаннями отримати повний контроль над інформацією клієнтів і роботою магазину.

Як незахищений доступ до адміністративних систем зробив дані клієнтів вразливими

Дослідник безпеки Ейтон Звеаре виявив, що платформа DavaIndia містила погано захищені API “супер-адміністратора”, до яких не потрібна була аутентифікація для доступу. Ця критична вразливість означала, що будь-хто міг створювати високорівневі облікові записи адміністратора та отримувати необмежений доступ до всієї роботи аптеки. Потрапивши всередину, зловмисник міг маніпулювати майже кожним аспектом бізнесу.

Масштаб потенційної шкоди був великим. Зловмисники могли отримати доступ до тисяч замовлень клієнтів, що містили особисту медичну інформацію, змінювати цінову політику та доступність товарів, створювати фальшиві промо-коди та, що найнебезпечніше, змінювати вимоги до рецептів для ліків — потенційно дозволяючи продавати обмежені препарати без належної перевірки. Вразливі адміністративні інтерфейси були доступні з кінця 2024 року, залишаючи систему відкритою кілька місяців.

Під час цього періоду приблизно 17 000 онлайн-замовлень і адміністративних контролів для 883 аптек по всій Індії залишалися скомпрометованими. Це означало, що правила виписування рецептів, цінові структури та промо-акції могли бути змінені без виявлення або дозволу.

Зростання індійської мережі аптек випереджає заходи безпеки

Материнська компанія DavaIndia, Zota Healthcare, швидко зростає, поки ця вразливість залишалася нерозв’язаною. Заснована в Гуджараті, компанія наразі має понад 2300 аптек по всій країні. У січні 2025 року було відкрито 276 нових точок, і компанія має амбітні плани відкрити ще від 1200 до 1500 магазинів протягом наступних двох років.

Цей шлях зростання ілюструє поширену модель у швидко масштабованих компаніях: інфраструктурне розширення іноді відбувається швидше, ніж можуть бути впроваджені та підтримані заходи безпеки.

Чутливість даних аптечних витоків

Записи клієнтів аптек містять одну з найконфіденційніших інформацій, доступних онлайн. На відміну від інших роздрібних транзакцій, покупки ліків можуть розкривати детальні медичні стани, лікування психічних розладів, управління хронічними захворюваннями та іншу глибоко особисту медичну інформацію. Інцидент із витоком у Індії саме це й показав.

За даними Звеаре, зламані дані замовлень включали імена клієнтів, номери телефонів, електронні адреси, поштові адреси, суми платежів і деталізовані записи покупок. “Ця інформація може бути дуже особистою або навіть сороміцькою для деяких людей,” пояснив Звеаре, зазначаючи, що аптечні товари часто вказують на чутливі медичні стани, які користувачі прагнуть тримати в таємниці.

Виявлення та вирішення індійського аптечного інциденту

Звеаре приватно повідомив про свої висновки індійським фахівцям з кібербезпеки та CERT-In (національній команді реагування на кіберінциденти Індії) в середині 2025 року. Вразливість була усунена протягом кількох тижнів після першого повідомлення. Однак офіційне підтвердження від DavaIndia було надано владі лише наприкінці року, згідно з хронологією Звеаре.

TechCrunch намагався зв’язатися з Суїджитом Полом, генеральним директором Zota Healthcare, для коментаря, але не отримав відповіді. Звеаре підтвердив, що наразі немає доказів того, що ця вразливість була зловмисно використана до її усунення, хоча сама її існування є значним порушенням довіри клієнтів.

Цей інцидент підкреслює критичну важливість проведення оцінки безпеки під час швидкого зростання компаній і необхідність для компаній — особливо тих, що працюють з чутливими даними у сфері охорони здоров’я та фармацевтики — підтримувати надійні протоколи аутентифікації та регулярні аудити безпеки.