インドの大手ジェネリック医薬品小売チェーンの最大級企業であり、Zota Healthcareの傘下にあるDava Indiaで重大なセキュリティの不備が発生し、顧客の個人情報とバックエンドシステムが完全に露出していました。
セキュリティ研究者Eatonが2025年8月にこの問題を発見し、企業のウェブサイトの公開されたAPIエンドポイントが認証を完全に迂回していたことを明らかにしました。
この脆弱性は、サイトの「パスワード忘れ」機能に隠れており、スーパー管理者APIを公然と参照していました。チェックがないため、これらのエンドポイントをクエリするだけでスーパー管理者ユーザーの完全なリストが出力されました。
パスワードはハッシュ化されたままでしたが、攻撃者は簡単なPOSTリクエストを細工して新しいスーパー管理者アカウントを登録し、薬局の管理ダッシュボードを完全に支配することができました。
この侵害により、883店舗のプロファイルと17,000件を超える顧客注文が可視化され、名前、住所、電話番号、薬剤師PINが露出しました。
攻撃者は1,500を超える製品を変更する権限を獲得し、価格や説明を変更したり、規制医薬品の「処方箋必須」フラグを無効化したりすることができました。
Eatonはこの設定を無効化することで証明し、医薬品の無制限注文を可能にしました。
財務的な破壊工作の可能性も大きかったです。システムにより、管理者は100%割引クーポンを生成でき、テストで注文総額をゼロに削減できました。
運用上のリスクは「スポンサー設定」に及び、ホームページのYouTube動画を改ざんやフィッシング用に置き換えることができました。
ランサムウェアやデータ窃盗は発生しませんでしたが、プライバシー侵害、詐欺、規制上の影響の可能性は膨大でした。
修正により、不正なアカウント作成がブロックされ、適切な認証が強制されました。
この事件は、特にセンシティブデータを扱うヘルスケアプラットフォームなど、eコマースにおけるAPIセキュリティギャップの重要性を強調しています。
小売チェーンは、公開されたエンドポイントを監査し、JWTやOAuthなどの厳密な認証を実施し、定期的なペネトレーションテストを実施する必要があります。
薬局の場合、処方箋ゲートを削除するとインドのDPDP法への準拠と公衆衛生にリスクをもたらします。
翻訳元: https://cyberpress.org/indias-largest-pharmacy-exposes/