Una falla nella sicurezza da parte di una delle più grandi catene di farmacie indiane ha consentito a soggetti esterni di ottenere il pieno controllo amministrativo della sua piattaforma, esponendo i dati degli ordini dei clienti e le funzioni sensibili di controllo dei farmaci, ha appreso in esclusiva TechCrunch.
Il problema ha interessato DavaIndia Pharmacy, il ramo farmaceutico di Zota Healthcare, che gestisce un’ampia rete di punti vendita al dettaglio in tutta l’India. Il ricercatore di sicurezza Eaton Zveare ha dichiarato a TechCrunch di aver scoperto la falla dopo aver identificato le interfacce di programmazione delle applicazioni “tremendous amministratore” non sicure sul sito Internet di DavaIndia e condiviso privatamente i dettagli con le autorità indiane di sicurezza informatica.
Il bug ora è stato corretto e Zveare ha rivelato le sue scoperte.
L’esposizione arriva mentre Zota Healthcare scala rapidamente l’attività di vendita al dettaglio di DavaIndia Pharmacy. La società con sede nel Gujarat gestisce più di 2.300 negozi DavaIndia in tutta l’India, incluso 276 nuovi punti vendita annunciato a gennaio e prevede di farlo aggiungi altri 1.200 a 1.500 nei prossimi due anni.
Zveare ha dichiarato a TechCrunch che il difetto derivava da interfacce di amministrazione non sicure, che consentivano agli utenti non autenticati di creare account “tremendous amministratore” con privilegi elevati.
Con questo livello di accesso, un utente malintenzionato potrebbe visualizzare migliaia di ordini on-line contenenti informazioni sui clienti, modificare elenchi e prezzi dei prodotti, creare buoni sconto e modificare le impostazioni che determinano se determinati medicinali richiedono una prescrizione, ha affermato il ricercatore.
Sulla base dei timestamp del sistema, Zveare ha affermato che le interfacce amministrative vulnerabili sembravano essere attive dalla advantageous del 2024. L’accesso ha esposto quasi 17.000 ordini on-line e controlli amministrativi su 883 negozi, ha affermato, consentendo modifiche ai prezzi dei prodotti, ai requisiti di prescrizione e agli sconti promozionali. Zveare ha affermato che l’accesso ha consentito modifiche al contenuto del sito Internet che avrebbero potuto essere utilizzate per deturpazione o interruzione.
I dati degli ordini in farmacia possono essere particolarmente sensibili, poiché potrebbero rivelare informazioni sulle condizioni di salute di una persona, sui farmaci o su altri acquisti privati. L’esposizione di tali dati, anche senza show di uso improprio, comporta maggiori rischi per la privateness e la sicurezza dei pazienti rispetto advert altre informazioni sui consumatori.
“Le informazioni sui clienti erano collegate ai loro ordini”, ha affermato Zveare. “Ciò embody nome, numeri di telefono, ID e-mail, indirizzi postali, importo totale pagato e prodotti acquistati. Poiché si tratta di una farmacia, i prodotti acquistati potrebbero essere considerati privati e persino imbarazzanti per alcune persone.”
Zveare ha affermato di aver segnalato il problema al CERT-In, l’agenzia nazionale di risposta alle emergenze informatiche dell’India, nell’agosto 2025. La vulnerabilità è stata risolta in poche settimane, anche se la conferma da parte dell’azienda ha richiesto più tempo ed è stata fornita alle autorità informatiche alla advantageous di novembre, ha affermato.
Sujit Paul, amministratore delegato di Zota Healthcare, non ha risposto alle e-mail inviate da TechCrunch il mese scorso. Il ricercatore ha affermato che non vi period alcuna indicazione che la falla fosse stata sfruttata prima che fosse corretta.
