Una falla de seguridad por parte de una de las cadenas de farmacias más grandes de la India permitió que un extraño obtuviera el control administrativo completo de su plataforma, exponiendo los datos de los pedidos de los clientes y las funciones confidenciales de administración de medicamentos, según descubrió TechCrunch en exclusiva.
El problema afectó a DavaIndia Pharmacy, la rama farmacéutica de Zota Healthcare, que opera una gran red de tiendas minoristas en toda la India. El investigador de seguridad Eaton Zveare le dijo a TechCrunch que descubrió la falla después de identificar una interfaz de programación de aplicaciones de «superadministrador» insegura en el sitio web de DavaIndia y compartir de forma privada los detalles con las autoridades de ciberseguridad de la India.
Este error ya se ha solucionado y Zveare ha revelado sus hallazgos.
La revelación se produce cuando Zota Healthcare expande rápidamente su negocio minorista de farmacia DavaIndia. La compañía con sede en Gujarat opera más de 2.300 tiendas DavaIndia en toda la India, incluidas 276 nuevas tiendas anunciadas en enero, y planea agregar entre 1.200 y 1.500 tiendas más en los próximos dos años.
Zveare le dijo a TechCrunch que la falla se debía a una interfaz administrativa insegura que permitía a usuarios no autenticados crear cuentas de «superadministrador» con privilegios elevados.
Con este nivel de acceso, un atacante podría ver miles de pedidos en línea, incluida la información del cliente, cambiar listas de productos y precios, crear cupones de descuento y cambiar la configuración sobre si ciertos medicamentos requieren receta médica, dijeron los investigadores.
Zuber dijo que, según las marcas de tiempo del sistema, la interfaz de gestión vulnerable parece haber estado funcionando desde finales de 2024. La compañía dijo que este acceso expuso casi 17.000 controles administrativos y de pedidos en línea en 883 tiendas, lo que permitió cambios en los precios de los productos, los requisitos de prescripción y los descuentos promocionales. Zubair dijo que este acceso le permitió editar el contenido del sitio web, que podría usarse para desfigurarlo o destruirlo.
Los datos de pedidos de farmacia pueden ser particularmente confidenciales porque pueden revelar información sobre la salud, los medicamentos y otras compras personales de un individuo. Cuando dichos datos se hacen públicos, incluso sin evidencia de uso indebido, plantean mayores riesgos para la privacidad y la seguridad del paciente en comparación con otra información para el consumidor.
«La información del cliente estaba vinculada al pedido», dijo Zuber. «Esto incluye su nombre, número de teléfono, ID de correo electrónico, dirección postal, monto total pagado y productos comprados. Dado que se trata de una farmacia, los productos que compra se consideran privados e incluso pueden resultar vergonzosos para algunos».
Zuber dijo que había informado del asunto a CERT-In, la agencia nacional de respuesta a emergencias cibernéticas de la India, en agosto de 2025. La vulnerabilidad se solucionó en cuestión de semanas, pero la confirmación de la compañía tardó más y se proporcionó a las autoridades cibernéticas a fines de noviembre, dijo.
El director ejecutivo de Zota Healthcare, Sujit Paul, no respondió a un correo electrónico enviado por TechCrunch el mes pasado. Los investigadores dijeron que no había evidencia de que la falla hubiera sido aprovechada antes de aplicar el parche.
Source link
