Door een inbreuk op de beveiliging bij een van de grootste apotheekketens van India konden externe partijen volledige administratieve controle over het platform krijgen, waardoor klantordergegevens en gevoelige functies voor het volgen van medicijnen openbaar werden, zo heeft TechCrunch exclusief vernomen.
De kwestie trof DavaIndia Pharmacy, de farmaceutische tak van Zota Healthcare, die een groot netwerk van winkels in heel India exploiteert. Beveiligingsonderzoeker Eaton Zveare vertelde TechCrunch dat hij de fout ontdekte nadat hij onveilige ‘superbeheerder’-applicatieprogramma-interfaces op de website van DavaIndia had geïdentificeerd en de details privé had gedeeld met de Indiase cyberbeveiligingsautoriteiten.
De bug is nu opgelost en Zveare onthulde zijn bevindingen.
De bekendheid komt doordat Zota Healthcare de detailhandelsactiviteiten van DavaIndia Pharmacy snel opschaalt. Het in Gujarat gevestigde bedrijf exploiteert meer dan 2.300 DavaIndia-winkels in heel India, inclusief 276 nieuwe verkooppunten aangekondigd in januari en is van plan dit te doen voeg nog eens 1.200 tot 1.500 toe in de komende twee jaar.
Zveare vertelde TechCrunch dat de fout voortkwam uit onveilige beheerinterfaces, waardoor niet-geverifieerde gebruikers ‘superbeheerders’-accounts met verhoogde rechten konden aanmaken.
Met dit toegangsniveau kan een aanvaller duizenden online bestellingen met klantinformatie bekijken, productvermeldingen en prijzen wijzigen, kortingsbonnen maken en instellingen wijzigen die bepalen of voor bepaalde medicijnen een recept nodig is, aldus de onderzoeker.
Op basis van systeemtijdstempels zei Zveare dat de kwetsbare administratieve interfaces sinds eind 2024 actief leken te zijn. De toegang bracht bijna 17.000 online bestellingen en administratieve controles in 883 winkels aan het licht, zei hij, waardoor wijzigingen in productprijzen, receptvereisten en promotiekortingen mogelijk waren. Zveare zei dat de toegang wijzigingen in de inhoud van de website mogelijk maakte die gebruikt hadden kunnen worden om de website te beschadigen of te verstoren.
Gegevens over apotheekbestellingen kunnen bijzonder gevoelig zijn, omdat ze informatie kunnen onthullen over iemands gezondheidstoestand, medicijnen of andere privéaankopen. Het openbaar maken van dergelijke gegevens, zelfs zonder bewijs van misbruik, brengt grotere risico’s voor de privacy en veiligheid van patiënten met zich mee dan andere consumenteninformatie.
“Klantinformatie was gekoppeld aan hun bestellingen”, aldus Zveare. “Dit omvat naam, telefoonnummers, e-mailadressen, postadressen, totaal betaald bedrag en gekochte producten. Omdat dit een apotheek is, kunnen gekochte producten voor sommige mensen als privé en zelfs gênant worden beschouwd.”
Zveare zei dat hij het probleem in augustus 2025 had gemeld aan CERT-In, het nationale computernoodhulpbureau van India. De kwetsbaarheid was binnen enkele weken verholpen, hoewel de bevestiging van het bedrijf langer duurde en eind november aan de cyberautoriteiten werd verstrekt, zei hij.
Sujit Paul, CEO van Zota Healthcare, reageerde niet op e-mails die TechCrunch vorige maand stuurde. De onderzoeker zei dat er geen aanwijzingen waren dat de fout was uitgebuit voordat deze werd gepatcht.
