- DavaIndiaファーマシーの脆弱性により、認証されていないユーザーが完全な権限を持つ「スーパー管理者」アカウントを作成可能
- 処方箋、健康状態、医薬品、個人情報など、注文に関連する機密顧客データが流出
- バグは2024年に責任を持って開示され、2025年後期に修正。悪意のある悪用の証拠はなく、顧客データはおそらく安全
インドの大手薬局チェーンが、数百万人のユーザーの極めて機密性の高いデータを流出させた欠陥のあるプラットフォームを運用していたと専門家は警告しています。
Zota Healthcareの薬局部門であるDavaIndia Pharmacyは、現在全国で2,300を超える店舗を運営していますが、そのプラットフォームは認証されていないユーザーが「スーパー管理者」アカウントを作成できるような欠陥が存在していました。
これらのアカウントは高い権限を持っており、攻撃者は極めて機密性の高い情報にアクセスすることができました。顧客情報(健康状態、医薬品、その他の個人的な購入物を含む)を流出させたり、商品リストを改ざん(エントリーと価格を変更)したり、割引やクーポンを作成したり、医師の処方箋が必要な医薬品を変更したりなど、多くの行為が可能でした。
バグの修正
このバグはセキュリティ研究者のEaton Zveareによって発見されました。彼によると、バグは2024年後期に導入され、それ以来800を超える店舗全体で約17,000件のオンライン注文と管理コントロールを流出させています。
「顧客情報は彼らの注文にリンクされていました」とZveareはTechCrunchに述べました。「これには氏名、電話番号、メールID、郵送先住所、支払い総額、購入した製品が含まれます。これは薬局であるため、購入されている製品は一部の人にとっては私的でさえ尷尬的と考えられる可能性があります。」
2025年8月、Zveareは同国の国家サイバーセキュリティ緊急対応機関であるCERT-Inに発見内容を責任を持って開示しました。数週間後、9月中旬に、彼はバグが修正されたことに気付き、確認を求めました。しかし、DavaIndiaは2025年11月後期にようやく確認を与えました。
Zveareは、この欠陥を悪意のあるアクターが事前に発見したという証拠はなく、顧客データはおそらく安全であると述べています。したがって、ユーザー側での対応は必要ありません。パスワード、支払いデータ、その他の秘密情報は安全なままです。
