Una violación de seguridad por parte de una de las cadenas de farmacias más grandes de la India permitió a terceros obtener el control administrativo total de su plataforma, exponiendo los datos de los pedidos de los clientes y las funciones confidenciales de seguimiento de medicamentos, según supo en exclusiva TechCrunch.
El problema afectó a DavaIndia Pharmacy, la rama farmacéutica de Zota Healthcare, que opera una gran red de puntos de venta en toda la India. El investigador de seguridad Eaton Zveare le dijo a TechCrunch que descubrió la falla después de identificar interfaces de programación de aplicaciones de “superadministrador” inseguras en el sitio web de DavaIndia y compartir detalles de forma privada con las autoridades de ciberseguridad de la India.
El error ha sido solucionado y Zveare publicó sus hallazgos.
La exposición llega en un momento en que Zota Healthcare está expandiendo rápidamente el negocio minorista de DavaIndia Pharmacy. La empresa con sede en Gujarat opera más de 2.300 tiendas DavaIndia en toda la India, incluidas 276 nuevos puntos de venta anunciado en enero y planes agregue otros 1200 a 1500 durante los próximos dos años.
Zveare le dijo a TechCrunch que la falla se debía a interfaces administrativas inseguras, que permitían a usuarios no autenticados crear cuentas de “superadministrador” con altos privilegios.
Con este nivel de acceso, un atacante podría ver miles de pedidos en línea que contienen información del cliente, modificar listas de productos y precios, crear cupones de descuento y cambiar las configuraciones que determinan si ciertos medicamentos requieren receta médica, dijo el investigador.
Según las marcas de tiempo del sistema, Zveare dijo que las interfaces administrativas vulnerables parecían haber estado activas desde finales de 2024. El acceso expuso casi 17.000 controles administrativos y de pedidos en línea que abarcaban 883 tiendas, dijo, lo que permitió cambios en los precios de los productos, requisitos de prescripción y descuentos promocionales. Zveare dijo que el acceso permitió ediciones del contenido del sitio que podrían haberse utilizado para desfigurar o alterar el sitio.
Los datos de pedidos de farmacia pueden ser particularmente confidenciales, ya que pueden revelar información sobre las condiciones de salud, medicamentos u otras compras privadas de una persona. La exposición de dichos datos, incluso sin evidencia de uso indebido, conlleva mayores riesgos para la privacidad y seguridad del paciente en comparación con otra información del consumidor.
“La información del cliente estaba vinculada a sus pedidos”, dijo Zveare. “Esto incluye nombre, números de teléfono, ID de correo electrónico, direcciones postales, monto total pagado y los productos comprados. Como se trata de una farmacia, los productos comprados pueden considerarse privados e incluso vergonzosos para algunas personas”.
Zveare dijo que informó del problema a CERT-In, la agencia nacional de respuesta a emergencias cibernéticas de la India, en agosto de 2025. La vulnerabilidad se solucionó en cuestión de semanas, aunque la confirmación de la compañía tardó más y se proporcionó a las autoridades cibernéticas a fines de noviembre, dijo.
Sujit Paul, director ejecutivo de Zota Healthcare, no respondió a los correos electrónicos enviados por TechCrunch el mes pasado. El investigador dijo que no hay indicios de que la falla haya sido explotada antes de ser reparada.
