شاشوف ShaShof

عملاق سلسلة الصيدليات الهندية يكشف بيانات العملاء والأنظمة الداخلية

Blister packs of medications at a pharmacy in Mumbai, India, on Saturday, Sept. 27, 2025. Often dubbed the "pharmacy of the world," India is the biggest supplier globally of cheap, non-patented medicines. Photographer: Kanishka Sonthalia/Bloomberg via Getty Images

Written by

شاشوف ShaShof

in

, ,

سمح خطأ أمني من إحدى أكبر سلاسل الصيدليات في الهند للغرباء بالحصول على السيطرة الإدارية الكاملة على منصتها، مما كشف بيانات طلبات العملاء ووظائف التحكم في الأدوية الحساسة، وفقًا لما تعلمته TechCrunch بشكل حصري.

تأثر الموضوع بصيدلية دافا الهندية، الذراع الصيدلانية لشركة زوتا هيلث كير، التي تدير شبكة كبيرة من المتاجر بالتجزئة في جميع أنحاء الهند. قال الباحث الأمني إيتون زفير TechCrunch إنه اكتشف الثغرة بعد تحديد واجهات برمجة تطبيقات “المشرف فائق” غير الآمنة على موقع دافا الهندية وأبلغ السلطات السيبرانية الهندية بالتفاصيل بشكل خاص.

تم الآن إصلاح الخطأ، وكشف زفير عن اكتشافاته.

تأتي هذه الفضيحة في وقت تقوم فيه شركة زوتا هيلث كير بتوسيع أعمال صيدلية دافا الهندية بسرعة. يقع مقر الشركة في غوجارات وتدير أكثر من 2300 متجر دافا هندية عبر الهند، بما في ذلك 276 متجرًا جديدًا تم الإعلان عنها في يناير، وتخطط لإضافة ما بين 1200 إلى 1500 متجر آخر خلال العامين المقبلين.

قال زفير لـ TechCrunch إن الثغرة نشأت من واجهات الإدارة غير الآمنة، مما سمح للمستخدمين غير المصرح لهم بإنشاء حسابات “مشرف فائق” ذات امتيازات عالية.

مع هذا المستوى من الوصول، يمكن للمهاجم الاطلاع على آلاف الطلبات عبر الإنترنت التي تحتوي على معلومات العملاء، تعديل قوائم المنتجات والأسعار، إنشاء قسائم خصم، وتغيير الإعدادات التي تحكم ما إذا كانت بعض الأدوية تحتاج إلى وصفة طبية، حسبما قال الباحث.

استنادًا إلى توقيعات النظام، ذكر زفير أن واجهات الإدارة المعرضة للخطر كانت نشطة منذ أواخر عام 2024. وقد كشفت الوصول عن ما يقرب من 17,000 طلب عبر الإنترنت ووظائف إدارية تغطي 883 متجرًا، مما أتاح إجراء تغييرات في أسعار المنتجات ومتطلبات الوصفات الطبية والخصومات الترويجية. قال زفير إن الوصول سمح بتعديلات على محتوى الموقع يمكن أن تُستخدم للتخريب أو الاضطراب.

يمكن أن تكون بيانات طلبات الصيدلية حساسة بشكل خاص، حيث قد تكشف معلومات عن حالات صحة الشخص، والأدوية، أو مشتريات خاصة أخرى. يحمل كشف تلك البيانات، حتى بدون دليل على إساءة الاستخدام، مخاطر أعلى تتعلق بالخصوصية وسلامة المرضى مقارنة بمعلومات المستهلكين الأخرى.

قال زفير: “كانت معلومات العملاء مرتبطة بطلباتهم”. “وهذا يشمل الاسم، أرقام الهاتف، معرفات البريد الإلكتروني، العناوين البريدية، المبلغ الإجمالي المدفوع، والمنتجات المشتراة. نظرًا لأن هذه صيدلية، يمكن اعتبار المنتجات التي تم شراؤها خاصة وحتى محرجة لبعض الأشخاص.”

قال زفير إنه أبلغ عن المشكلة إلى CERT-In، الوكالة الوطنية للاستجابة للطوارئ السيبرانية في الهند، في أغسطس 2025. تم إصلاح الثغرة في غضون أسابيع، على الرغم من أن تأكيد الشركة استغرق وقتًا أطول وتم توفيره للسلطات السيبرانية في أواخر نوفمبر، حسبما قال.

لم يستجب سوجيت بول، الرئيس التنفيذي لشركة زوتا هيلث كير، لرسائل البريد الإلكتروني التي أرسلتها TechCrunch الشهر الماضي. قال الباحث إنه لم يكن هناك أي مؤشر على أن الثغرة تم استغلالها قبل تصحيحها.


المصدر

Comments

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

More posts