Vieno didžiausių Indijos vaistinių tinklų saugumo pažeidimas leido pašaliniams asmenims įgyti visišką administracinę platformos kontrolę, atskleisdama klientų užsakymų duomenis ir jautrias vaistų kontrolės funkcijas, „TechCrunch“ sužinojo išskirtinai.
Problema palietė „DavaIndia Pharmacy“, „Zota Healthcare“ vaistinių padalinį, valdantį didelį mažmeninės prekybos tinklą visoje Indijoje. Saugumo tyrinėtojas Eatonas Zveare’as „TechCrunch“ sakė, kad trūkumą aptiko po to, kai „DavaIndia“ svetainėje nustatė nesaugias „super administratoriaus“ programų programavimo sąsajas ir privačiai pasidalijo informacija su Indijos kibernetinio saugumo institucijomis.
Dabar klaida ištaisyta, o Zveare atskleidė savo išvadas.
Poveikis atsiranda, kai „Zota Healthcare“ sparčiai plečia „DavaIndia Pharmacy“ mažmeninės prekybos verslą. Įmonė, kurios būstinė yra Gudžarate, valdo daugiau nei 2 300 „DavaIndia“ parduotuvių visoje Indijoje, įskaitant 276 naujas prekybos vietas, paskelbtas sausį, ir per ateinančius dvejus metus planuoja pridėti dar 1 200–1 500 parduotuvių.
Zveare sakė „TechCrunch“, kad trūkumas kilo dėl nesaugių administratoriaus sąsajų, leidžiančių neautentifikuotiems vartotojams sukurti „super administratoriaus“ paskyras su didelėmis privilegijomis.
Turėdamas tokį prieigos lygį, užpuolikas galėtų peržiūrėti tūkstančius internetinių užsakymų su klientų informacija, modifikuoti produktų sąrašus ir kainas, kurti nuolaidų kuponus ir keisti nustatymus, nurodančius, ar tam tikriems vaistams reikia recepto, sakė tyrėjas.
Remiantis sistemos laiko žymomis, Zveare’as teigė, kad pažeidžiamos administracinės sąsajos veikia nuo 2024 m. pabaigos. Jo teigimu, prieiga atskleidė beveik 17 000 internetinių užsakymų ir administracinių kontrolės priemonių, apimančių 883 parduotuves. Zveare teigė, kad prieiga leido redaguoti svetainės turinį, kuris galėjo būti panaudotas sugadinimui ar trikdymui.
Vaistinės užsakymų duomenys gali būti ypač jautrūs, nes gali atskleisti informaciją apie asmens sveikatos būklę, vaistus ar kitus asmeninius pirkinius. Tokių duomenų atskleidimas, net jei nėra piktnaudžiavimo įrodymų, kelia didesnį pavojų privatumui ir pacientų saugumui, palyginti su kita vartotojų informacija.
„Klientų informacija buvo susieta su jų užsakymais“, – sakė Zveare. „Tai apima vardą, telefonų numerius, el. pašto ID, pašto adresus, visą sumokėtą sumą ir įsigytus produktus. Kadangi tai vaistinė, perkami produktai gali būti laikomi privačiais ir kai kuriems žmonėms net gėdingi.”
Zveare’as teigė, kad apie problemą pranešė Indijos nacionalinei reagavimo į kibernetines situacijas agentūrai CERT-In 2025 m. rugpjūtį. Pažeidžiamumas buvo pašalintas per kelias savaites, tačiau įmonės patvirtinimas užtruko ilgiau ir buvo pateiktas kibernetinėms institucijoms lapkričio pabaigoje.
Sujit Paul, „Zota Healthcare“ generalinis direktorius, neatsakė į praėjusį mėnesį „TechCrunch“ išsiųstus el. Tyrėjas teigė, kad nėra jokių požymių, kad trūkumas buvo išnaudotas prieš jį užtaisant.
