Ett säkerhetsbortfall av en av Indiens största apotekskedjor gjorde det möjligt för en utomstående att få fullständig administrativ kontroll över sin plattform, vilket exponerade kundorderdata och känsliga läkemedelshanteringsfunktioner, har TechCrunch exklusivt fått veta.
Problemet påverkade DavaIndia Pharmacy, apoteksdelen av Zota Healthcare, som driver ett stort nätverk av butiker över hela Indien. Säkerhetsforskaren Eaton Zubair berättade för TechCrunch att han upptäckte felet efter att ha identifierat ett osäkert ”superadministratörs”-applikationsprogrammeringsgränssnitt på DavaIndias webbplats och privat delat dess detaljer med Indiens cybersäkerhetsmyndigheter.
Denna bugg har nu åtgärdats och Zveare har avslöjat sina upptäckter.
Avslöjandet kommer när Zota Healthcare snabbt expanderar sin DavaIndia Pharmacy-handelsverksamhet. Företaget med huvudkontor i Gujarat driver över 2 300 DavaIndia-butiker över hela Indien, inklusive 276 nya butiker som tillkännagavs i januari, och planerar att lägga till 1 200 till 1 500 fler butiker under de kommande två åren.
Zveare berättade för TechCrunch att felet berodde på ett osäkert administrativt gränssnitt som gjorde det möjligt för oautentiserade användare att skapa mycket privilegierade ”superadministratörskonton”.
Med denna åtkomstnivå kan en angripare se tusentals onlinebeställningar, inklusive kundinformation, ändra produktlistor och priser, skapa rabattkuponger och ändra inställningar för huruvida vissa läkemedel kräver recept, sa forskare.
Zuber sa att baserat på systemets tidsstämplar verkar det sårbara hanteringsgränssnittet ha varit igång sedan slutet av 2024. Företaget sa att denna åtkomst exponerade nästan 17 000 onlinebeställningar och administrativa kontroller i 883 butiker, vilket tillåter ändringar av produktpriser, receptkrav och kampanjrabatter. Zubair sa att denna åtkomst tillät honom att redigera webbplatsens innehåll, vilket kan användas för att förstöra eller förstöra det.
Apoteksbeställningsdata kan vara särskilt känsliga eftersom de kan avslöja information om en individs hälsa, mediciner och andra personliga köp. När sådana uppgifter offentliggörs, även utan bevis på missbruk, innebär det ökade integritets- och patientsäkerhetsrisker jämfört med annan konsumentinformation.
”Kundinformationen var kopplad till beställningen”, sa Zuber. ”Detta inkluderar ditt namn, telefonnummer, e-post-ID, postadress, totalbelopp som betalats och köpta produkter. Eftersom detta är ett apotek anses produkterna du köper vara privata och kan till och med vara pinsamma för vissa.”
Zuber sa att han rapporterade ärendet till CERT-In, Indiens nationella cyberberedskapsmyndighet, i augusti 2025. Sårbarheten åtgärdades inom några veckor, men bekräftelsen från företaget tog längre tid och lämnades till cybermyndigheter i slutet av november, sa han.
Zota Healthcares vd Sujit Paul svarade inte på ett mejl som skickades till TechCrunch förra månaden. Forskare sa att det inte fanns några bevis för att felet hade utnyttjats innan plåstret applicerades.
