Uma falha de segurança em uma das maiores redes de farmácias da Índia permitiu que pessoas não autorizadas obtivessem controle administrativo total de sua plataforma online, expondo dados de pedidos de clientes e funções sensíveis de controle de medicamentos. A vulnerabilidade, agora corrigida, afetou a DavaIndia Pharmacy, braço farmacêutico da Zota Healthcare.
O pesquisador de segurança Eaton Zveare descobriu a falha ao identificar interfaces de programação de aplicativos (APIs) de "super administrador" inseguras no site da DavaIndia. Ele compartilhou os detalhes de forma privada com autoridades de cibersegurança da Índia em agosto de 2025. A correção foi implementada em semanas, com confirmação formal à agência governamental em novembro.
Acesso total a dados e controles sensíveis
Com o nível de acesso obtido pela falha, um atacante poderia visualizar milhares de pedidos online contendo informações dos clientes, modificar listagens e preços de produtos, criar cupons de desconto e alterar configurações que governam se certos medicamentos exigem prescrição médica. Zveare afirmou que as interfaces administrativas vulneráveis pareciam estar ativas desde o final de 2024.
A exposição abrangeu quase 17.000 pedidos online e controles administrativos de 883 lojas da rede. "As informações do cliente estavam vinculadas aos seus pedidos", explicou Zveare. "Isso inclui nome, números de telefone, e-mails, endereços de correspondência, valor total pago e os produtos comprados."
Risco elevado à privacidade e segurança do paciente
Dados de pedidos de farmácia são considerados particularmente sensíveis, pois podem revelar informações sobre condições de saúde, medicamentos ou outras compras privadas de uma pessoa. A exposição desses dados, mesmo sem evidência de uso malicioso, carrega riscos elevados de privacidade e segurança do paciente em comparação com outras informações de consumo.
"Como se trata de uma farmácia, os produtos sendo comprados podem ser considerados privados e até embaraçosos para algumas pessoas", destacou o pesquisador. O acesso também permitia editar o conteúdo do site, o que poderia ter sido usado para desfiguração ou interrupção do serviço.
Empresa em expansão e resposta às autoridades
A exposição ocorre enquanto a Zota Healthcare expande rapidamente o negócio de varejo da DavaIndia Pharmacy. A empresa, sediada em Gujarat, opera mais de 2.300 lojas DavaIndia em toda a Índia, incluindo 276 novas unidades anunciadas em janeiro, e planeja adicionar outras 1.200 a 1.500 nos próximos dois anos.
Zveare relatou o problema ao CERT-In, a agência nacional de resposta a emergências cibernéticas da Índia. Sujit Paul, diretor executivo da Zota Healthcare, não respondeu a e-mails enviados pela TechCrunch no mês passado. O pesquisador afirmou que não há indícios de que a falha tenha sido explorada antes da correção.