Σοβαρό κενό ασφαλείας στην πλατφόρμα της DavaIndia, φαρμακευτικού βραχίονα της Zota Healthcare, επέτρεψε σε τρίτους να αποκτήσουν πλήρη διαχειριστικό έλεγχο σε εσωτερικά συστήματα και παραγγελίες πελατών. Το περιστατικό αναδεικνύει τον αυξανόμενο κίνδυνο από κυβερνοεπιθέσεις στον ψηφιοποιημένο χώρο της υγείας.
Ένα σοβαρό κενό ασφαλείας σε μία από τις μεγαλύτερες αλυσίδες φαρμακείων της Ινδίας, τη DavaIndia Pharmacy της Zota Healthcare, άφησε εκτεθειμένα ευαίσθητα δεδομένα χιλιάδων πελατών αλλά και κρίσιμες λειτουργίες ελέγχου φαρμάκων. Το περιστατικό αποκαλύφθηκε από τον ερευνητή κυβερνοασφάλειας Eaton Zveare, ο οποίος εντόπισε επισφαλή «super admin» APIs στον ιστότοπο της εταιρείας και ενημέρωσε εμπιστευτικά τις ινδικές αρχές κυβερνοασφάλειας.
Πλήρης διαχειριστικός έλεγχος σε 883 καταστήματα
Το κενό προερχόταν από μη ασφαλή διαχειριστικά interfaces, τα οποία επέτρεπαν σε μη πιστοποιημένους χρήστες να δημιουργούν λογαριασμούς «super admin» με πολύ υψηλά δικαιώματα. Σύμφωνα με τον Zveare, με αυτό το επίπεδο πρόσβασης ένας κακόβουλος παράγοντας θα μπορούσε να δει χιλιάδες online παραγγελίες, να αλλάξει τιμές προϊόντων, να δημιουργήσει εκπτωτικά κουπόνια, αλλά και να τροποποιήσει ρυθμίσεις που καθορίζουν αν συγκεκριμένα φάρμακα απαιτούν ιατρική συνταγή.
Με βάση τα χρονικά σημάδια του συστήματος, τα ευάλωτα interfaces φαίνεται να ήταν ενεργά από τα τέλη του 2024. Η πρόσβαση που παρείχαν κάλυπτε περίπου 17.000 ηλεκτρονικές παραγγελίες και διαχειριστικούς ελέγχους για 883 καταστήματα του δικτύου. Επιπλέον, υπήρχε δυνατότητα επεξεργασίας του περιεχομένου του ιστότοπου, κάτι που θα μπορούσε να αξιοποιηθεί για αλλοίωση ή διακοπή της λειτουργίας του.
Ευαίσθητα ιατρικά δεδομένα χωρίς επαρκή προστασία
Τα δεδομένα παραγγελιών φαρμακείου θεωρούνται από τα πιο ευαίσθητα, καθώς μπορούν να αποκαλύψουν πληροφορίες για την υγεία, τη φαρμακευτική αγωγή ή άλλες ιδιωτικές αγορές ενός ατόμου. Όπως εξήγησε ο Zveare, κάθε παραγγελία συνδεόταν με στοιχεία πελάτη, όπως ονοματεπώνυμο, αριθμούς τηλεφώνου, email, ταχυδρομική διεύθυνση, συνολικό ποσό πληρωμής και τα συγκεκριμένα προϊόντα που αγοράστηκαν. «Επειδή πρόκειται για φαρμακείο, τα προϊόντα μπορεί να θεωρηθούν ιδιωτικά ή ακόμη και ντροπιαστικά για κάποιους», σημείωσε χαρακτηριστικά.
Ο ερευνητής ανέφερε ότι ενημέρωσε την CERT-In, την εθνική υπηρεσία αντιμετώπισης κυβερνο-εκτάκτων περιστατικών της Ινδίας, τον Αύγουστο του 2025. Η ευπάθεια διορθώθηκε μέσα σε λίγες εβδομάδες, αν και η επίσημη επιβεβαίωση προς τις αρχές ήρθε αργότερα, στα τέλη Νοεμβρίου. Μέχρι στιγμής, δεν υπάρχουν ενδείξεις ότι το κενό είχε αξιοποιηθεί από τρίτους πριν επιδιορθωθεί.
Ραγδαία ανάπτυξη με κενά στην κυβερνοασφάλεια
Η αποκάλυψη έρχεται σε μια περίοδο έντονης επέκτασης της DavaIndia. Η Zota Healthcare, με έδρα το Γκουτζαράτ, λειτουργεί πάνω από 2.300 καταστήματα DavaIndia σε όλη την Ινδία και μόνο τον Ιανουάριο ανακοίνωσε την προσθήκη 276 νέων σημείων. Παράλληλα, σχεδιάζει να ανοίξει ακόμη 1.200 έως 1.500 καταστήματα μέσα στα επόμενα δύο χρόνια, επενδύοντας σημαντικά κεφάλαια στην ανάπτυξη του δικτύου.
Ωστόσο, η υπόθεση αναδεικνύει τον δομικό κίνδυνο όταν η ταχεία ψηφιοποίηση και επέκταση στον χώρο της υγείας δεν συνοδεύεται από αντίστοιχη επένδυση στην κυβερνοασφάλεια και στη διακυβέρνηση δεδομένων. Η διοίκηση της Zota Healthcare, με επικεφαλής τον διευθύνοντα σύμβουλο Sujit Paul, δεν απάντησε στα ερωτήματα του TechCrunch, αφήνοντας ανοιχτά ερωτήματα για το πώς διαχειρίζεται η εταιρεία την προστασία των προσωπικών δεδομένων σε ένα δίκτυο χιλιάδων σημείων πώλησης.
Σχόλιο 
: Το περιστατικό στην DavaIndia είναι χαρακτηριστικό παράδειγμα του πώς η ψηφιοποίηση της υγείας χωρίς αυστηρή αρχιτεκτονική ασφαλείας μετατρέπεται σε συστημικό ρίσκο: πλήττει εμπιστοσύνη, εκθέτει ασθενείς και δημιουργεί νομικές και επιχειρησιακές απειλές που υπερβαίνουν κατά πολύ το κόστος μιας σωστής επένδυσης στην κυβερνοασφάλεια.
#κυβερνοασφάλεια #διαρροήΔεδομένων #Ινδία #υγεία #φαρμακεία
