ثغرة أمنية خطيرة في سلسلة صيدليات DavaIndia تكشف بيانات العملاء وتتيح التحكم الإداري الكامل

كشف تحقيق حصري لـ TechCrunch عن ثغرة أمنية في إحدى أكبر سلاسل الصيدليات في الهند، DavaIndia Pharmacy، سمحت لغرباء بالحصول على سيطرة إدارية كاملة على منصتها، مما عرض بيانات طلبات العملاء ووظائف التحكم الحساسة في الأدوية للخطر.

أثرت المشكلة على DavaIndia Pharmacy، ذراع الصيدليات لشركة Zota Healthcare، التي تدير شبكة واسعة من منافذ البيع بالتجزئة في جميع أنحاء الهند. صرح الباحث الأمني إيتون زفير لـ TechCrunch بأنه اكتشف الخلل بعد تحديد واجهات برمجة تطبيقات "المشرف الخارق" غير الآمنة على موقع DavaIndia على الويب، وشارك التفاصيل سراً مع سلطات الأمن السيبراني الهندية.

تم إصلاح الخلل الآن، وقد كشف زفير عن نتائجه للجمهور بعد التأكد من معالجة الثغرة.

يأتي هذا الكشف في الوقت الذي تعمل فيه Zota Healthcare على توسيع نطاق أعمال التجزئة لـ DavaIndia Pharmacy بسرعة. تدير الشركة التي تتخذ من ولاية غوجارات مقراً لها أكثر من 2300 متجر DavaIndia في جميع أنحاء الهند، بما في ذلك 276 منفذاً جديداً تم الإعلان عنها في يناير، وتخطط لإضافة 1200 إلى 1500 متجر آخر خلال العامين المقبلين، مما يجعل أمن بياناتها أمراً بالغ الأهمية.

صرح زفير لـ TechCrunch أن الخلل نبع من واجهات إدارية غير آمنة، والتي سمحت للمستخدمين غير المصادق عليهم بإنشاء حسابات "مشرف خارق" ذات امتيازات عالية. هذا النوع من الثغرات يسمح للمهاجمين بتجاوز آليات المصادقة التقليدية والوصول إلى أعمق مستويات التحكم في النظام.

وبهذا المستوى من الوصول، يمكن للمهاجم عرض آلاف الطلبات عبر الإنترنت التي تحتوي على معلومات العملاء، وتعديل قوائم المنتجات وأسعارها، وإنشاء كوبونات خصم، وتغيير الإعدادات التي تحكم ما إذا كانت بعض الأدوية تتطلب وصفة طبية، وفقاً للباحث. هذا يمثل تهديداً كبيراً ليس فقط للخصوصية المالية ولكن أيضاً للسلامة العامة.

بناءً على الطوابع الزمنية للنظام، قال زفير إن الواجهات الإدارية المعرضة للخطر بدت نشطة منذ أواخر عام 2024. وقد كشف هذا الوصول عن ما يقرب من 17000 طلب عبر الإنترنت وعناصر تحكم إدارية تغطي 883 متجراً، مما سمح بإجراء تغييرات على أسعار المنتجات، ومتطلبات الوصفات الطبية، والخصومات الترويجية. وأضاف زفير أن الوصول سمح بتعديل محتوى الموقع الذي كان يمكن استخدامه لتشويه الموقع أو تعطيله، مما قد يؤثر على سمعة الشركة وثقة العملاء.

يمكن أن تكون بيانات طلبات الصيدليات حساسة بشكل خاص، حيث قد تكشف معلومات حول الحالات الصحية للشخص، أو الأدوية، أو غيرها من المشتريات الخاصة. إن الكشف عن هذه البيانات، حتى بدون دليل على سوء الاستخدام، يحمل مخاطر متزايدة على الخصوصية وسلامة المرضى مقارنة بمعلومات المستهلك الأخرى، مما يستدعي أعلى مستويات الحماية.

قال زفير: "كانت معلومات العملاء مرتبطة بطلباتهم". "يشمل ذلك الاسم، أرقام الهواتف، عناوين البريد الإلكتروني، عناوين الشحن، المبلغ الإجمالي المدفوع، والمنتجات المشتراة. وبما أن هذه صيدلية، فإن المنتجات التي يتم شراؤها يمكن اعتبارها خاصة وحتى محرجة لبعض الأشخاص، مما يزيد من حساسية هذه البيانات."

قال زفير إنه أبلغ CERT-In، وكالة الاستجابة الوطنية للطوارئ السيبرانية في الهند، بالمشكلة في أغسطس 2025. وتم إصلاح الثغرة الأمنية في غضون أسابيع، على الرغم من أن التأكيد من الشركة استغرق وقتاً أطول وتم تقديمه إلى السلطات السيبرانية في أواخر نوفمبر، على حد قوله. هذا التأخير في التأكيد يثير تساؤلات حول سرعة استجابة الشركات لمثل هذه التهديدات.

لم يرد سوجيت بول، الرئيس التنفيذي لشركة Zota Healthcare، على رسائل البريد الإلكتروني التي أرسلتها TechCrunch الشهر الماضي بخصوص هذه المسألة. وقال الباحث إنه لا يوجد ما يشير إلى أن الثغرة قد تم استغلالها قبل إصلاحها، وهو ما يعد خبراً جيداً، لكنه لا يقلل من خطورة الثغرة نفسها.