Una falla de seguridad por parte de una de las cadenas de farmacias más grandes de la India permitió a personas externas obtener el management administrativo complete de su plataforma, exponiendo los datos de los pedidos de los clientes y las funciones sensibles de management de medicamentos, según supo en exclusiva TechCrunch.
El problema afectó a DavaIndia Pharmacy, la rama farmacéutica de Zota Healthcare, que opera una gran purple de puntos de venta en toda la India. El investigador de seguridad Eaton Zveare le dijo a TechCrunch que descubrió la falla después de identificar interfaces de programación de aplicaciones de “superadministrador” inseguras en el sitio net de DavaIndia y compartió detalles de forma privada con las autoridades de ciberseguridad de la India.
El error ya está solucionado y Zveare reveló sus hallazgos.
La exposición se produce cuando Zota Healthcare amplía rápidamente el negocio minorista de DavaIndia Pharmacy. La empresa con sede en Gujarat opera más de 2.300 tiendas DavaIndia en toda la India, incluidas 276 nuevos puntos de venta anunciado en enero, y planea agregue otros 1200 a 1500 durante los próximos dos años.
Zveare le dijo a TechCrunch que la falla se debía a interfaces de administración inseguras, que permitían a usuarios no autenticados crear cuentas de “superadministrador” con altos privilegios.
Con ese nivel de acceso, un atacante podría ver miles de pedidos en línea que contienen información del cliente, modificar listas de productos y precios, crear cupones de descuento y cambiar la configuración que determina si ciertos medicamentos requieren receta médica, dijo el investigador.
Según las marcas de tiempo del sistema, Zveare dijo que las interfaces administrativas vulnerables parecían haber estado activas desde finales de 2024. El acceso expuso casi 17.000 pedidos en línea y controles administrativos que abarcaban 883 tiendas, dijo, lo que permitió cambios en los precios de los productos, los requisitos de prescripción y los descuentos promocionales. Zveare dijo que el acceso permitió editar el contenido del sitio net que podría haberse utilizado para desfigurar o alterar el sitio.
Los datos de pedidos de farmacia pueden ser particularmente confidenciales, ya que pueden revelar información sobre las condiciones de salud, medicamentos u otras compras privadas de una persona. La exposición de dichos datos, incluso sin evidencia de uso indebido, conlleva mayores riesgos para la privacidad y la seguridad del paciente en comparación con otra información del consumidor.
“La información del cliente estaba vinculada a sus pedidos”, dijo Zveare. “Esto incluye nombre, números de teléfono, ID de correo electrónico, direcciones postales, monto complete pagado y los productos comprados. Dado que se trata de una farmacia, los productos que se compran podrían considerarse privados e incluso vergonzosos para algunas personas”.
Zveare dijo que informó del problema a CERT-In, la agencia nacional de respuesta a emergencias cibernéticas de la India, en agosto de 2025. La vulnerabilidad se solucionó en cuestión de semanas, aunque la confirmación de la compañía tardó más y se proporcionó a las autoridades cibernéticas a fines de noviembre, dijo.
Sujit Paul, director ejecutivo de Zota Healthcare, no respondió a los correos electrónicos enviados por TechCrunch el mes pasado. El investigador dijo que no había indicios de que la falla hubiera sido explotada antes de ser reparada.
