TechCrunch cho biết, lỗ hổng bảo mật của một trong những chuỗi hiệu thuốc lớn nhất Ấn Độ đã cho phép người ngoài có toàn quyền kiểm soát hành chính đối với nền tảng của họ, làm lộ dữ liệu đơn đặt hàng của khách hàng và các chức năng kiểm soát thuốc nhạy cảm.
Vấn đề này ảnh hưởng đến DavaIndia Pharmaceutical, chi nhánh dược phẩm của Zota Healthcare, nơi điều hành một mạng lưới lớn các cửa hàng bán lẻ trên khắp Ấn Độ. Nhà nghiên cứu bảo mật Eaton Zveare nói với TechCrunch rằng ông đã phát hiện ra lỗ hổng sau khi xác định các giao diện lập trình ứng dụng “siêu quản trị viên” không an toàn trên trang web của DavaIndia và chia sẻ thông tin chi tiết riêng tư với cơ quan an ninh mạng Ấn Độ.
Lỗi này hiện đã được sửa và Zveare đã tiết lộ những phát hiện của mình.
Sự việc xảy ra khi Zota Healthcare nhanh chóng mở rộng quy mô kinh doanh bán lẻ của DavaIndia Pharmacy. Công ty có trụ sở tại Gujarat điều hành hơn 2.300 cửa hàng DavaIndia trên khắp Ấn Độ, bao gồm 276 cửa hàng mới được công bố vào tháng 1 và có kế hoạch bổ sung thêm 1.200 đến 1.500 cửa hàng khác trong hai năm tới.
Zveare nói với TechCrunch rằng lỗ hổng này xuất phát từ giao diện quản trị viên không an toàn, cho phép người dùng không được xác thực tạo tài khoản “siêu quản trị viên” với các đặc quyền cao.
Nhà nghiên cứu cho biết, với mức độ truy cập đó, kẻ tấn công có thể xem hàng nghìn đơn đặt hàng trực tuyến có chứa thông tin khách hàng, sửa đổi danh sách và giá sản phẩm, tạo phiếu giảm giá và thay đổi cài đặt quản lý xem một số loại thuốc có cần kê đơn hay không.
Dựa trên dấu thời gian của hệ thống, Zveare cho biết các giao diện quản trị dễ bị tấn công dường như đã tồn tại từ cuối năm 2024. Ông cho biết, quyền truy cập đã làm lộ gần 17.000 đơn đặt hàng trực tuyến và quyền kiểm soát hành chính trên 883 cửa hàng, cho phép thay đổi giá sản phẩm, yêu cầu kê đơn và giảm giá khuyến mại. Zveare cho biết quyền truy cập cho phép chỉnh sửa nội dung trang web có thể được sử dụng để làm xấu hoặc phá hoại.
Dữ liệu đơn đặt hàng thuốc có thể đặc biệt nhạy cảm vì nó có thể tiết lộ thông tin về tình trạng sức khỏe, thuốc men hoặc các giao dịch mua hàng cá nhân khác của một người. Việc tiết lộ những dữ liệu đó, ngay cả khi không có bằng chứng về việc sử dụng sai mục đích, sẽ mang lại rủi ro cao hơn về quyền riêng tư và an toàn cho bệnh nhân so với các thông tin tiêu dùng khác.
Zveare cho biết: “Thông tin khách hàng được liên kết với đơn đặt hàng của họ. “Thông tin này bao gồm tên, số điện thoại, ID email, địa chỉ gửi thư, tổng số tiền đã thanh toán và các sản phẩm đã mua. Vì đây là hiệu thuốc nên các sản phẩm được mua có thể được coi là riêng tư và thậm chí gây bối rối cho một số người.”
Zveare cho biết ông đã báo cáo vấn đề này với CERT-In, cơ quan ứng phó tình trạng khẩn cấp mạng quốc gia của Ấn Độ, vào tháng 8 năm 2025. Lỗ hổng này đã được khắc phục trong vòng vài tuần, mặc dù xác nhận từ công ty mất nhiều thời gian hơn và được cung cấp cho cơ quan quản lý mạng vào cuối tháng 11, ông cho biết.
Sujit Paul, giám đốc điều hành của Zota Healthcare, đã không trả lời các email do TechCrunch gửi vào tháng trước. Nhà nghiên cứu cho biết không có dấu hiệu nào cho thấy lỗ hổng đã bị khai thác trước khi được vá.