سمح الثغرة الأمنية التي ارتكبتها إحدى أكبر سلاسل الصيدليات في الهند للأجانب بالحصول على سيطرة إدارية كاملة على منصتها، مما أدى إلى الكشف عن بيانات طلبات العملاء ووظائف مراقبة الأدوية الحساسة، حسبما علمت TechCrunch حصريًا.
أثرت المشكلة على صيدلية DavaIndia، ذراع الصيدلة لشركة Zota Healthcare، التي تدير شبكة كبيرة من منافذ البيع بالتجزئة في جميع أنحاء الهند. أخبر الباحث الأمني إيتون زفير موقع TechCrunch أنه اكتشف الخلل بعد تحديد واجهات برمجة تطبيقات “المشرف الفائق” غير الآمنة على موقع DavaIndia الإلكتروني ومشاركة التفاصيل بشكل خاص مع سلطات الأمن السيبراني الهندية.
تم الآن إصلاح الخلل، وكشف Zveare عن النتائج التي توصل إليها.
ويأتي هذا التعرض في الوقت الذي تعمل فيه Zota Healthcare على توسيع نطاق أعمال البيع بالتجزئة في DavaIndia Pharmacy بسرعة. وتدير الشركة التي يقع مقرها الرئيسي في ولاية جوجارات أكثر من 2300 متجر DavaIndia في جميع أنحاء الهند، بما في ذلك 276 منفذًا جديدًا تم الإعلان عنها في يناير، وتخطط لإضافة 1200 إلى 1500 متجرًا آخر على مدار العامين المقبلين.
أخبر Zveare موقع TechCrunch أن الخلل ينبع من واجهات الإدارة غير الآمنة، والتي سمحت للمستخدمين غير المصادقين بإنشاء حسابات “مشرف متميز” بامتيازات عالية.
وقال الباحث إنه من خلال هذا المستوى من الوصول، يمكن للمهاجم عرض الآلاف من الطلبات عبر الإنترنت التي تحتوي على معلومات العملاء، وتعديل قوائم المنتجات وأسعارها، وإنشاء كوبونات خصم، وتغيير الإعدادات التي تحكم ما إذا كانت بعض الأدوية تتطلب وصفة طبية.
واستنادًا إلى الطوابع الزمنية للنظام، قال زفير إن الواجهات الإدارية الضعيفة يبدو أنها كانت موجودة منذ أواخر عام 2024. وقال إن الوصول كشف عن ما يقرب من 17000 طلب عبر الإنترنت وضوابط إدارية تغطي 883 متجرًا، مما يسمح بتغييرات في أسعار المنتجات ومتطلبات الوصفات الطبية والخصومات الترويجية. وقال Zveare إن الوصول سمح بإجراء تعديلات على محتوى موقع الويب الذي كان من الممكن استخدامه للتشويه أو التعطيل.
يمكن أن تكون بيانات طلبات الصيدلية حساسة بشكل خاص، لأنها قد تكشف معلومات حول الحالة الصحية للشخص أو الأدوية أو المشتريات الخاصة الأخرى. إن الكشف عن مثل هذه البيانات، حتى بدون دليل على سوء الاستخدام، ينطوي على مخاطر عالية على الخصوصية وسلامة المرضى مقارنة بمعلومات المستهلك الأخرى.
قال زفير: “تم ربط معلومات العملاء بطلباتهم”. “يتضمن ذلك الاسم وأرقام الهواتف ومعرفات البريد الإلكتروني والعناوين البريدية والمبلغ الإجمالي المدفوع والمنتجات المشتراة. وبما أن هذه صيدلية، فإن المنتجات التي يتم شراؤها يمكن اعتبارها خاصة وحتى محرجة لبعض الأشخاص.”
وقال زفير إنه أبلغ عن المشكلة إلى CERT-In، الوكالة الوطنية الهندية للاستجابة للطوارئ السيبرانية، في أغسطس 2025. وتم إصلاح الثغرة الأمنية في غضون أسابيع، على الرغم من أن التأكيد من الشركة استغرق وقتًا أطول وتم تقديمه إلى السلطات السيبرانية في أواخر نوفمبر، على حد قوله.
ولم يرد سوجيت بول، الرئيس التنفيذي لشركة Zota Healthcare، على رسائل البريد الإلكتروني التي أرسلتها TechCrunch الشهر الماضي. وقال الباحث إنه لا يوجد ما يشير إلى أنه تم استغلال الخلل قبل تصحيحه.
