زنجیره داروسازی هندی دادههای مشتریان و سامانههای داخلی را فاش کرد
یک نقص امنیتی در داشبوردهای وب مدیریتی یکی از بزرگترین زنجیرههای داروسازی هندی، باعث افشای هزاران سفارش آنلاین و دسترسی به عملکردهای حساس شد.
افشا شدن دادههای مشتریان در زنجیره داروسازی هندی
در یک رخداد جدی امنیتی، یک نقص در رابطهای برنامهنویسی سوپرادمین بستر وب‑ADMین فروشگاههای اینترنتی DavaIndia باعث شد تا افراد غیرمجاز بتوانند حسابهای مدیریتی با دسترسیهای بالا ایجاد کنند. این دسترسی به آنها امکان مشاهده اطلاعات شخصی حدود ۱۷,۰۰۰ سفارش آنلاین، تغییر قیمتها، ایجاد کدهای تخفیفی و حتی تنظیم الزامات نسخهپذیری داروها را داده بود. پژوهشگر امنیتی Eaton Zveare پس از کشف این ضعف، جزئیات را به مقامات سایبری هندی (CERT‑In) اطلاع داد و نقص در اواخر سال ۲۰۲۴ فعال بود اما ظرف چند هفته پس از گزارش رفع شد. اگرچه هنوز شواهدی از سوءاستفاده وجود ندارد، اما افشای این دادهها میتواند خطر حریم خصوصی بیماران را بهویژه در زمینه داروهای حساس افزایش دهد.
- دسترسی غیرمجاز به سابادمین باعث مشاهده دادههای حساس مشتریان شد
- حدود ۱۷,۰۰۰ سفارش و ۸۸۳ فروشگاه تحت تاثیر قرار گرفتند
- پژوهشگر آسیبپذیری را به CERT‑In گزارش کرد و شرکت در عرض چند هفته اصلاح کرد
- امکان تغییر قیمتگذاری، تخفیفها و الزامات نسخه داروها وجود داشت
- هیچگونه استفاده مخرب رسمی گزارش نشده ولی خطر حریم خصوصی بالا است
“Customer information was linked to their orders.” “The flaw allowed creation of super admin accounts with high privileges.”
این رویداد نشان میدهد که امنیت سامانههای مدیریت آنلاین در حوزهٔ بهداشت و داروسازی باید بهطور مداوم ارزیابی و بهروز شود تا از نقض حریم خصوصی و خطرات احتمالی برای بیماران جلوگیری شود.
