TechCrunchが新たに発表した情報によると、インドのZota Healthcareの製薬部門であるDavaIndia Pharmacyのセキュリティ脆弱性により、外部の者がプラットフォームの完全な管理権限を取得し、顧客の注文データと機密医薬品管理機能を漏洩することができました。
セキュリティ研究の専門家であるイートン・ズベアー氏によると、彼はDavaIndiaのウェブサイトで安全でない「上級管理者」アプリケーションプログラミングインターフェース(API)を特定した後、脆弱性を発見し、インドのサイバーセキュリティ機関と詳細情報を共有しました。
このエラーは現在修正されており、ズベアレは自身の発見を発表しました。
この情報は、Zota HealthcareがDavaIndia Pharmacyの小売事業を急速に拡大している状況で発表されました。グジャラート州に本社を置くこの会社は、2026年1月に発表された276店舗を含む、インド全土で2,300以上のDavaIndia店舗を運営しており、今後2年間でさらに1,200〜1,500店舗を追加する計画があります。
ZveareはTechCrunchに、この脆弱性は安全でない管理インターフェースに起因しており、認証されていないユーザーは、高い権限を持つ「スーパー管理者」アカウントを作成できると語りました。
研究者によると、そのアクセスレベルで、攻撃者は顧客情報を含む数千件のオンライン注文を確認したり、製品と価格のリストを変更したり、割引クーポンを作成したり、一部の薬が処方箋を必要としているかどうかを規制設定に変更したりできます。
システムタイムスタンプに基づいて、Zveare氏は、脆弱な管理インターフェースは2024年末から動作しているように見えると述べています。彼は、アクセスにより約17,000件のオンライン注文と883店舗に及ぶ管理制御権限が漏洩し、製品価格の変更、処方箋の要求、プロモーション割引が可能になったと述べています。Zveare氏は、アクセスによりウェブサイトのコンテンツの編集が可能になり、これにより破壊行為や活動の中断を引き起こす可能性があると述べています。
処方箋データは、人の健康状態、薬、またはその他の個人的な買い物取引に関する情報を明らかにする可能性があるため、特に敏感になる可能性があります。そのようなデータの漏洩は、乱用の証拠がない場合でも、他の消費者情報と比較して、患者のプライバシーと安全に対するリスクが高まります。
「顧客情報は顧客の注文に関連付けられています。これには、名前、電話番号、メールアドレス、メールアドレス、支払われた総額、および購入された製品が含まれます。薬局であるため、購入された製品に関する情報は個人情報と見なされる可能性があり、一部の人にとっては困惑を引き起こす可能性さえあります」とズベアレ氏は述べています。
ズベアレ氏は、この問題を2025年8月にインドの国家サイバーセキュリティ緊急対応機関であるCERT-Inに報告したと述べました。脆弱性は数週間で修正されましたが、会社からの確認には時間がかかり、2025年11月末にサイバーセキュリティ機関に提供される予定です。
