В одній із найбільших аптечних мереж Індії стався суттєвий витік інформації, що відкрив доступ стороннім користувачам до адміністративних функцій платформи, включаючи дані про замовлення клієнтів і чутливі функції контролю за ліками. Це стало відомо завдяки дослідженню безпеки, проведеному фахівцем Ейтоном Звеаром.
Витік даних користувачів
Неполадка торкнулася DavaIndia Pharmacy, підрозділу компанії Zota Healthcare, яка має розгалужену мережу роздрібних аптек по всій Індії. Звеар виявив уразливість, визначивши ненадійні «супер адміністраторські» інтерфейси на вебсайті DavaIndia, про що сповістив індійські органи з кібербезпеки.
Зараз проблема вже усунута, а всі деталі інциденту були передані фахівцям. Витік даних відбувся на фоні активного розширення бізнесу DavaIndia. Компанія, що базується в Гуджараті, наразі управлінь понад 2300 аптек, включаючи 276 нових точок, відкритих у січні. У планах — додатково запустити від 1200 до 1500 нових аптек протягом наступних двох років.
Експерт зазначив, що вразливість виникла через ненадійні адмін-інтерфейси, що дозволяли неавтентифікованим користувачам створювати акаунти з високими привілеями. З таким рівнем доступу зловмисник міг отримати доступ до тисяч замовлень, містили інформацію про клієнтів, змінити ціни на продукти, створювати знижки та коригувати налаштування, які регулюють, чи потрібен рецепт на певні ліки.
Системні позначки свідчать про те, що вразливі інтерфейси функціонували з кінця 2024 року. Відкритий доступ призвів до експозиції близько 17 тисяч замовлень та адміністративних даних, що охоплюють 883 аптеки. Це давало можливість змінювати цінову політику, вимоги до рецептів та акційні пропозиції. Вразливість також давала можливість редагувати контент на сайті, що могло бути використано для його спотворення або деструкції.