Uma falha de segurança cometida por uma das maiores cadeias de farmácias da Índia permitiu que terceiros obtivessem controle administrativo total de sua plataforma, expondo dados de pedidos de clientes e funções confidenciais de controle de medicamentos, descobriu exclusivamente o TechCrunch.
O problema afetou a DavaIndia Pharmacy, o braço farmacêutico da Zota Healthcare, que opera uma grande rede de pontos de venda em toda a Índia. O pesquisador de segurança Eaton Zveare disse ao TechCrunch que descobriu a falha depois de identificar interfaces de programação de aplicativos de “superadministradores” inseguras no site da DavaIndia e compartilhar detalhes de forma privada com as autoridades indianas de segurança cibernética.
O bug foi corrigido e Zveare divulgou suas descobertas.
A exposição ocorre no momento em que a Zota Healthcare expande rapidamente o negócio de varejo da DavaIndia Pharmacy. A empresa sediada em Gujarat opera mais de 2.300 lojas DavaIndia em toda a Índia, incluindo 276 novos pontos de venda anunciados em janeiro, e planeja adicionar mais 1.200 a 1.500 nos próximos dois anos.
Zveare disse ao TechCrunch que a falha resultava de interfaces administrativas inseguras, que permitiam que usuários não autenticados criassem contas de “superadministrador” com altos privilégios.
Com esse nível de acesso, um invasor poderia visualizar milhares de pedidos on-line contendo informações de clientes, modificar listas de produtos e preços, criar cupons de desconto e alterar configurações que determinam se determinados medicamentos exigem receita médica, disse o pesquisador.
Com base nos carimbos de data/hora do sistema, Zveare disse que as interfaces administrativas vulneráveis pareciam estar ativas desde o final de 2024. O acesso expôs quase 17.000 pedidos online e controles administrativos abrangendo 883 lojas, disse ele, permitindo alterações nos preços dos produtos, requisitos de prescrição e descontos promocionais. Zveare disse que o acesso permitiu edições no conteúdo do site que poderia ter sido usado para desfiguração ou interrupção.
Os dados de pedidos de farmácia podem ser particularmente sensíveis, pois podem revelar informações sobre as condições de saúde de uma pessoa, medicamentos ou outras compras privadas. A exposição de tais dados, mesmo sem evidência de uso indevido, acarreta maiores riscos para a privacidade e a segurança do paciente em comparação com outras informações do consumidor.
“As informações dos clientes estavam vinculadas aos seus pedidos”, disse Zveare. “Isso inclui nome, números de telefone, IDs de e-mail, endereços para correspondência, valor total pago e os produtos adquiridos. Por se tratar de uma farmácia, os produtos adquiridos podem ser considerados privados e até constrangedores para algumas pessoas.”
Zveare disse que relatou o problema ao CERT-In, a agência nacional de resposta a emergências cibernéticas da Índia, em agosto de 2025. A vulnerabilidade foi corrigida em semanas, embora a confirmação da empresa tenha demorado mais e tenha sido fornecida às autoridades cibernéticas no final de novembro, disse ele.
Sujit Paul, executivo-chefe da Zota Healthcare, não respondeu aos e-mails enviados pelo TechCrunch no mês passado. O pesquisador disse que não há indicação de que a falha tenha sido explorada antes de ser corrigida.
