Uma falha de segurança por parte de uma das maiores redes de farmácias da Índia permitiu que um estranho obtivesse controle administrativo completo de sua plataforma, expondo dados de pedidos de clientes e funções confidenciais de gerenciamento de medicamentos, descobriu exclusivamente o TechCrunch.
O problema afetou a DavaIndia Pharmacy, o braço farmacêutico da Zota Healthcare, que opera uma grande rede de lojas de varejo em toda a Índia. O pesquisador de segurança Eaton Zveare disse ao TechCrunch que descobriu a falha depois de identificar uma interface de programação de aplicativo de “superadministrador” insegura no site da DavaIndia e compartilhar os detalhes de forma privada com as autoridades indianas de segurança cibernética.
O bug foi corrigido. Zveare revelou suas descobertas.
A revelação ocorre no momento em que a Zota Healthcare expande rapidamente seu negócio de varejo DavaIndia Pharmacy. Com sede em Gujarat, a empresa opera mais de 2.300 lojas DavaIndia em toda a Índia. 276 novas lojas Anunciado e agendado para janeiro Adicione outros 1.200 a 1.500 Nos próximos dois anos.
Zveare disse ao TechCrunch que a falha se devia a uma interface administrativa insegura que permitia que usuários não autenticados criassem contas de “superadministrador” altamente privilegiadas.
Com esse nível de acesso, um invasor pode visualizar milhares de pedidos on-line, incluindo informações de clientes, alterar listas de produtos e preços, criar cupons de desconto e alterar configurações sobre se determinados medicamentos exigem receita médica, disseram os pesquisadores.
Zuber disse que, com base nos carimbos de data e hora do sistema, a interface de gerenciamento vulnerável parece estar em execução desde o final de 2024. A empresa disse que esse acesso expôs quase 17.000 pedidos on-line e controles administrativos em 883 lojas, permitindo alterações nos preços dos produtos, requisitos de prescrição e descontos promocionais. Zubair disse que esse acesso lhe permitiu editar o conteúdo do site, que poderia ter sido usado para desfigurá-lo ou destruí-lo.
Os dados de pedidos de farmácia podem ser particularmente confidenciais porque podem revelar informações sobre a saúde, medicamentos e outras compras pessoais de um indivíduo. Quando esses dados são tornados públicos, mesmo sem provas de utilização indevida, representam maiores riscos para a privacidade e a segurança do paciente em comparação com outras informações do consumidor.
“As informações do cliente estavam vinculadas ao pedido”, disse Zuber. “Isso inclui seu nome, número de telefone, e-mail, endereço para correspondência, valor total pago e produtos adquiridos. Por se tratar de uma farmácia, os produtos que você compra são considerados privados e podem até ser constrangedores para alguns.”
Zuber disse que relatou o assunto ao CERT-In, a agência nacional de resposta a emergências cibernéticas da Índia, em agosto de 2025. A vulnerabilidade foi corrigida em semanas, mas a confirmação da empresa demorou mais e foi fornecida às autoridades cibernéticas no final de novembro, disse ele.
O CEO da Zota Healthcare, Sujit Paul, não respondeu a um e-mail enviado pelo TechCrunch no mês passado. Os pesquisadores disseram que não havia evidências de que a falha tivesse sido explorada antes da aplicação do patch.
