Як витік даних індійської мережі аптек розкрив конфіденційність клієнтів у масштабі

Значний інцидент безпеки в одному з найбільших аптечних ритейлерів Індії підкреслив небезпеки погано налаштованих адміністративних систем у секторі охорони здоров’я. Злом у DavaIndia Pharmacy, дочірній компанії Zota Healthcare, залишив чутливу інформацію пацієнтів — історії медикаментів, особисті контактні дані та платіжні записи — доступною будь-кому, хто знав про вразливість. Дослідник безпеки Ейтон Звеаре виявив цю помилку і повідомив про неї через відповідні канали, привертаючи увагу до того, як навіть швидко зростаючі компанії у сфері охорони здоров’я можуть нехтувати базовими практиками безпеки.

Ігнорований адміністративний портал

Технічна вразливість полягала у незахищених API для “супер адміністратора”, вбудованих у платформу DavaIndia. Ці адміністративні бекдори не вимагали автентифікації для доступу, тобто будь-хто, хто їх виявив, міг створити високорівневі адміністративні облікові записи та отримати повний контроль над критичними функціями бізнесу.

З правами супер адміністратора зловмисник міг маніпулювати цінами, змінювати вимоги до рецептів для регульованих медикаментів, генерувати фальшиві промо-коди та навіть знищити весь сайт. Потенційний масштаб шкоди виходив далеко за межі крадіжки даних — це був фундаментальний порушення операційної цілісності, яке могло спричинити збої у роботі для тисяч клієнтів аптек по всій Індії.

Коли витоки загрожують приватності пацієнтів

Витік записів замовлень у аптеках має особливу чутливість. На відміну від інших роздрібних транзакцій, покупки медикаментів розкривають інтимні деталі про стан здоров’я, лікування та особисті вразливості. Вкрадені дані включали імена, номери телефонів, електронні адреси, місця доставки, суми транзакцій та детальні списки товарів.

Приблизно 17 000 замовлень і адміністративних облікових записів для 883 фізичних магазинів залишалися відкритими протягом періоду вразливості. Для тих, хто купував чутливі медикаменти — будь то для хронічних захворювань, репродуктивного здоров’я або психічного благополуччя — такий витік виходить за межі комерційної незручності і стає справжнім порушенням приватності.

Записи містили прямі зв’язки між особистістю клієнта та його покупками, тобто ризик поширювався не лише на окремі дані, а й на цілі профілі клієнтів, пов’язані з конкретними медичними потребами.

Розширення Zota Healthcare і пріоритети безпеки

Інцидент стався під час активної експансії Zota Healthcare. Штаб-квартира компанії знаходиться в Гуджараті, і вона має понад 2300 аптечних точок по всій Індії. За останні місяці компанія додала 276 нових локацій і планує відкрити ще 1200–1500 магазинів протягом наступних двох років.

Таке швидке масштабування — демонстрація зростання бізнесу — викликає питання, чи встигла інфраструктура безпеки за цим слідувати. Створення надійних практик безпеки зазвичай вимагає цілеспрямованих інвестицій і планування, а швидке зростання може випадково створити технічний борг і прогалини у конфігурації.

Хронологія: від виявлення до вирішення

Звеаре повідомив про свою знахідку CERT-In, Національній команді реагування на комп’ютерні надзвичайні ситуації Індії, у середині 2025 року. За його словами, вразливість існувала з кінця 2024 року, створюючи тривалий період ризику для даних клієнтів і систем управління магазинами.

Проблему було виправлено протягом кількох тижнів після першого повідомлення. Однак офіційне підтвердження від Zota Healthcare до влади з’явилося лише наприкінці 2025 року — кілька місяців після технічного вирішення проблеми.

TechCrunch звернувся до генерального директора Zota Healthcare, Сугіта Пола, за коментарем, але отримав відповідь. Звеаре зазначив, що не має доказів того, що вразливість була використана зловмисниками до її усунення.

Що цей інцидент безпеки в Індії показує

Інцидент у DavaIndia підкреслює важливі уроки для секторів охорони здоров’я та електронної комерції Індії. По-перше, адміністративні інтерфейси — незалежно від їх внутрішнього позначення — потребують суворого контролю автентифікації та доступу. По-друге, швидке розширення бізнесу має супроводжуватися відповідними інвестиціями у безпекову архітектуру, а не розглядатися як додатковий етап.

Для компаній у сфері охорони здоров’я особливо важливо, щоб регуляторні та етичні зобов’язання щодо захисту даних пацієнтів були враховані з самого початку, а не додані пізніше. Витік медичних записів впливає не лише на окремих користувачів, а й підриває довіру до цифрової інфраструктури охорони здоров’я Індії.

Поки країна продовжує розвивати свою фармацевтичну електронну комерцію, подібні інциденти нагадують, що зростання без належної безпеки створює хисткі основи для довгострокового успіху.