A security lapse by one of India’s largest pharmacy chains allowed outsiders to gain full administrative control of its platform, exposing customer order data and sensitive drug-control functions, TechCrunch has exclusively learned. The issue affected DavaIndia Pharmacy, the pharmacy arm of Zota Healthcare, which operates a large network of retail outlets across India. Security researcher Eaton Zveare told TechCrunch that he discovered the flaw after identifying insecure “super admin” application programming interfaces on DavaIndia’s website and privately shared details with Indian cybersecurity authorities. The bug is now fixed, and Zveare disclosed his findings online.

Rritja e DavaIndia Pharmacy dhe Skenari i Sigurisë

Ekspozimi ndodhi në një kohë kur Zota Healthcare po zgjeron me shpejtësi rrjetin DavaIndia Pharmacy. Kompania me qendër në Gujarat menaxhon më shumë se 2,300 dyqane DavaIndia në të gjithë Indinë, duke përfshirë 276 njësi të reja të hapura në janar, ndërsa planifikon të shtojë edhe 1,200-1,500 dyqane gjatë dy viteve të ardhshme. Sipas Zveare, problemi buronte prej ndërfaqeve jo të sigurta të administrimit, të cilat lejonin përdorues të paautorizuar të krijonin llogari “super admin” me privilegje shumë të larta. Ky nivel aksesi mund të lejonte një sulmues të shihte mijëra porosi online me të dhëna të klientëve, të modifikonte çmimet, të krijonte kupona, si dhe të ndryshonte rregullat për barnat me ose pa recetë.

Impakti në Privatësinë e Klientëve dhe Masat e Marra

Duke u bazuar te të dhënat e sistemit, Zveare tha se ndërfaqet administrative të cenueshme kishin qenë aktive prej fundit të vitit 2024. Aksesi ekspozoi afërsisht 17,000 porosi online dhe kontroll administrativ për 883 dyqane, duke bërë të mundur ndryshimin e çmimeve, kërkesave për receta dhe zbritjeve promocionale. Kjo qasje përfshinte gjithashtu mundësinë e ndryshimit të përmbajtjes së faqes së internetit, e cila mund të përdorej për defacement ose ndërprerje të shërbimit. Porositë nga farmacia tregojnë informacione tepër të ndjeshme lidhur me gjendjen shëndetësore, barnat dhe blerje private që ka kryer një individ. Zveare tha: “Informacioni i klientëve ishte i lidhur me porositë e tyre, përfshirë emrin, numrin e telefonit, emailin, adresën postare, shumën totale të paguar dhe produktet e blera. Në një farmaci, këto produkte mund të konsiderohen private dhe për disa persona, edhe të sikletshme.”

Zveare raportoi çështjen pranë CERT-In, agjencia kombëtare e reagimit kibernetik të Indisë, në gusht të 2025. Problem u rregullua brenda pak javësh, por konfirmimi nga kompania erdhi më vonë, në fund të nëntorit, dhe iu dërgua autoriteteve kibernetike. Shefi ekzekutiv i Zota Healthcare, Sujit Paul, nuk iu përgjigj emaileve të TechCrunch muajin e kaluar. Sipas hulumtuesit, nuk ka prova që cenueshmëria të ishte shfrytëzuar para se të riparohej.

Tags: siguria kibernetike, ekspozimi i të dhënave, farmaci, India, privatësia e klientëve, API të pasigurta