Një dobësi sigurie te një nga zinxhirët më të mëdhenj të farmacive në Indi lejoi përdorues të jashtëm të merrnin kontroll të plotë administrativ mbi platformën e tij, duke ekspozuar të dhëna të porosive të klientëve dhe funksione të ndjeshme të kontrollit të ilaçeve. Ky problem preku DavaIndia Pharmacy, krahu farmaceutik i Zota Healthcare, i cili operon një rrjet të madh dyqanesh farmaceutike në të gjithë Indinë. Eksperti i sigurisë, Eaton Zveare, zbuloi gabimin duke identifikuar API të pasigurta “super admin” në faqen e DavaIndia dhe raportoi në mënyrë private të dhënat tek autoritetet indiane të sigurisë kibernetike.

Ekspozimi i të dhënave dhe ndikimi në klientët

Dësia tashmë është rregulluar, ndërsa Zveare publikoi hetimin e tij në faqen personale. Ekspozimi ndodhi në një kohë kur Zota Healthcare po rrit shpejt praninë e DavaIndia me mbi 2,300 dyqane në Indi dhe plane për të shtuar edhe 1,500 të tjera gjatë dy viteve të ardhshme. Gabimi kishte lidhje me ndërfaqe jo të sigurta të administratorëve që lejonin përdoruesit pa autentifikim të krijonin llogari “super admin” me privilegje të larta.

Me këtë nivel qasjeje, një sulmues mund të shihte mijëra porosi online të klientëve, të ndryshonte çmimet e produkteve, të krijonte kupona zbritje ose të modifikonte rregullat për nevojën e recetave për ilaçet. Sipas gjurmëve të sistemit, këto ndërfaqe ishin të ekspozuara që nga fundi i vitit 2024, duke ekspozuar pothuajse 17,000 porosi online dhe funksione administrative për 883 dyqane në gjithë Indinë. Eksperti theksoi se kjo çarje e sigurisë lejonte edhe ndryshime të përmbajtjes së faqes, që mund të ishin shfrytëzuar për dëmtim ose ndërprerje të shërbimit.

Rreziqet për privatësinë dhe masat parandaluese

Të dhënat e porosive farmaceutike janë mjaft të ndjeshme, pasi mund të zbulojnë informacione rreth gjendjes shëndetësore, barna të përdorura ose blerje të tjera private, duke rritur rrezikun për privatësinë dhe sigurinë e pacientëve. Sipas Zveare, informacioni i klientëve ishte i lidhur me porositë e tyre, duke përfshirë emrin, numrin e telefonit, emailin, adresën postare, shumën totale të paguar dhe produktet e blera. Në kontekstin e farmacisë, ky informacion mund të konsiderohet me shumë rëndësi dhe shpesh edhe i turpshëm për disa persona.

Eksperti raportoi dobësinë pranë CERT-In, agjencisë kombëtare të reagimit ndaj emergjencave kibernetike në Indi, në gusht 2025. Problemi u rregullua brenda disa javësh, megjithëse konfirmimi zyrtar nga ana e kompanisë u bë me vonesë dhe vetëm pasi njoftimi ishte dërguar tek autoritetet kibernetike në fund të nëntorit. Nga ana tjetër, drejtori ekzekutiv i Zota Healthcare, Sujit Paul, nuk iu përgjigj kërkesave për koment. Deri në momentin e rregullimit, nuk kishte shenja që dobësia të ishte shfrytëzuar.

Tags: siguria kibernetike, ekspozimi i të dhënave, farmaci, India, privatësia e klientëve, API të pasigurta