Door een inbreuk op de beveiliging door een van de grootste apotheekketens van India konden buitenstaanders volledige administratieve controle krijgen over zijn platform, waardoor gegevens over klantbestellingen en gevoelige functies voor medicijncontrole openbaar werden, zo heeft TechCrunch exclusief vernomen.
De kwestie trof DavaIndia Pharmacy, de apotheekafdeling van Zota Healthcare, die een groot netwerk van winkels in heel India exploiteert. Beveiligingsonderzoeker Eaton Zveare vertelde TechCrunch dat hij de fout ontdekte nadat hij onveilige ‘super admin’-API’s op de website van DavaIndia had geïdentificeerd en privé details had gedeeld met de Indiase cyberbeveiligingsautoriteiten.
De fout is nu verholpen en Zveare maakte zijn bevindingen bekend.
De bekendheid komt doordat Zota Healthcare de detailhandelsactiviteiten van DavaIndia Pharmacy snel opschaalt. Het bedrijf heeft zijn hoofdkantoor in Gujarat en exploiteert meer dan 2.300 DavaIndia-winkels in heel India, inclusief 276 nieuwe bedrijven aangekondigd in januari, en is van plan dat ook te doen voeg nog eens 1.200 tot 1.500 toe in de komende twee jaar.
Zveare vertelde TechCrunch dat de fout voortkwam uit onveilige beheerdersinterfaces, waardoor ongeautoriseerde gebruikers ‘superadmin’-accounts met hoge rechten konden aanmaken.
Met dat toegangsniveau kan een aanvaller duizenden online bestellingen met klantinformatie bekijken, productlijsten en prijzen wijzigen, kortingsbonnen maken en instellingen wijzigen voor de vraag of voor bepaalde medicijnen een recept nodig is, aldus de onderzoeker.
Op basis van de tijdstempels van het systeem zei Zveare dat de kwetsbare administratieve interfaces sinds eind 2024 live leken te zijn. De toegang bracht bijna 17.000 online bestellingen en administratieve controles aan het licht in 883 winkels, zei hij, waardoor veranderingen in productprijzen, receptvereisten en promotiekortingen mogelijk waren. Zveare zei dat de toegang het mogelijk maakte om de inhoud van de website te bewerken die gebruikt had kunnen worden voor vernietiging of verstoring.
Gegevens over apotheekbestellingen kunnen bijzonder gevoelig zijn, omdat ze informatie kunnen onthullen over iemands gezondheidstoestand, medicijnen of andere privéaankopen. Het openbaar maken van dergelijke gegevens, zelfs zonder bewijs van misbruik, brengt grotere risico’s voor de privacy en de patiëntveiligheid met zich mee vergeleken met andere consumenteninformatie.
“Klantinformatie was bijgevoegd bij hun bestellingen”, zei Zveare. “Dit omvat naam, telefoonnummers, e-mailadressen, postadressen, het totale betaalde bedrag en de gekochte producten. Omdat dit een apotheek is, kunnen de gekochte producten voor sommige mensen als privé en zelfs gênant worden beschouwd.”
Zveare zei dat hij het probleem in augustus 2025 had gemeld bij CERT-In, India’s nationale cyberparaatheidsagentschap. De kwetsbaarheid was binnen enkele weken verholpen, hoewel de bevestiging van het bedrijf langer duurde en eind november aan de cyberautoriteiten werd gegeven, zei hij.
Sujit Paul, CEO van Zota Healthcare, reageerde niet op e-mails die TechCrunch vorige maand stuurde. De onderzoeker zei dat er geen aanwijzingen waren dat de bug was uitgebuit voordat deze werd verholpen.
