Как утечка данных индийской сети аптек раскрыла конфиденциальность клиентов в масштабах

Значительный сбой безопасности в одном из крупнейших аптечных ритейлеров Индии подчеркнул опасности плохо настроенных административных систем в сфере здравоохранения. Уязвимость в DavaIndia Pharmacy, дочерней компании Zota Healthcare, позволила любому, кто знал о ней, получить доступ к конфиденциальной информации пациентов — истории медикаментов, личным контактным данным и платежным записям. Исследователь безопасности Итон Звеаре обнаружил этот недостаток и сообщил о нем через официальные каналы, привлекая внимание к тому, как даже быстро растущие компании в сфере здравоохранения могут пренебрегать базовыми практиками безопасности.

Недооценённый административный входной портал

Техническая уязвимость заключалась в незащищённых API “супер-администратора”, встроенных в платформу DavaIndia. Эти административные бэкдоры не требовали аутентификации для доступа, что означало, что любой, кто обнаружил их, мог создать высокоуровневые административные аккаунты и полностью контролировать важные бизнес-функции.

Обладая правами супер-администратора, злоумышленник мог манипулировать ценами, изменять требования к рецептам на регулируемые лекарства, генерировать фальшивые промо-коды и даже взломать весь сайт. Потенциальный ущерб выходил далеко за рамки кражи данных — это был фундаментальный нарушение операционной целостности, способное нарушить работу тысяч аптек по всей Индии.

Когда утечки угрожают конфиденциальности пациентов

Раскрытие данных о заказах в аптеке особенно чувствительно. В отличие от других розничных транзакций, покупки медикаментов раскрывают интимные детали о здоровье, лечении и личных уязвимостях человека. Скомпрометированные данные включали имена, номера телефонов, электронные адреса, места доставки, суммы транзакций и списки товаров.

Около 17 000 заказов и административных учетных данных для 883 физических точек оставались уязвимыми в течение времени существования уязвимости. Для тех, кто приобретал чувствительные лекарства — будь то по хроническим заболеваниям, репродуктивному здоровью или психическому благополучию — такая утечка переходит за рамки коммерческой незначительности и превращается в реальное нарушение конфиденциальности.

Записи содержали прямые связи между личностью клиента и его покупками, что означало, что риск распространялся не только на отдельные данные, а на полные профили клиентов, связанные с конкретными фармацевтическими потребностями.

Расширение Zota Healthcare и приоритеты безопасности

Инцидент произошёл во время активной экспансии Zota Healthcare. Штаб-квартира компании находится в Гуджарате, и она управляет более чем 2300 аптечными точками по всей Индии. За последние месяцы компания добавила 276 новых филиалов и планирует открыть от 1200 до 1500 дополнительных магазинов в ближайшие два года.

Такое быстрое масштабирование — демонстрация делового роста — вызывает вопросы о том, успела ли инфраструктура безопасности за этим ростом. Создание надёжных мер безопасности обычно требует целенаправленных инвестиций и планирования, а слишком быстрое расширение может непреднамеренно привести к техническому долгу и ошибкам в настройках.

Хронология: от обнаружения до устранения

Звеаре сообщил о своей находке CERT-In, Национальной команде реагирования на компьютерные чрезвычайные ситуации Индии, в середине 2025 года. По его словам, уязвимость существовала с конца 2024 года, создавая длительный период риска для данных клиентов и систем управления магазинами.

Проблема была устранена в течение нескольких недель после первого сообщения. Однако официальное подтверждение от Zota Healthcare поступило только в конце 2025 года — спустя несколько месяцев после технического решения и формального признания компании.

TechCrunch обратился к генеральному директору Zota Healthcare Суџиту Паула за комментариями, но ответа не последовало. Звеаре отметил, что не было доказательств того, что уязвимость была использована злоумышленниками до её устранения.

Какие уроки дает этот инцидент в Индии

Инцидент в DavaIndia подчеркивает важные уроки для здравоохранения и электронной коммерции в Индии. Во-первых, административные интерфейсы — независимо от их внутреннего обозначения — требуют строгой аутентификации и контроля доступа. Во-вторых, быстрое расширение бизнеса должно сопровождаться соответствующими инвестициями в безопасность, а не рассматриваться как второстепенная задача.

Для компаний в сфере здравоохранения особенно важно, чтобы безопасность данных пациентов была встроена в системы с самого начала, а не добавлялась позже. Утечка данных о медикаментах затрагивает не только отдельных пользователей, но и подрывает доверие к цифровой инфраструктуре здравоохранения Индии.

По мере развития фармацевтической электронной коммерции такие инциденты напоминают, что рост без учета безопасности создает хрупкие основы для долгосрочного успеха.