زنجیره داروسازی هند داده های مشتریان را فاش کرد

به گزارش خبرگزاری مهر به نقل از تک کرانچ، این مشکل در «دوا ایندیا فارماسی» شاخه داروسازی شرکت «زوتا» که شبکه بزرگی از خرده فروشی ها را در سراسر هند مدیریت کند، رخ داده است.

ایتان زِوِر محقق امنیتی پس از شناسایی یک اپلیکیشن ناامن «سوپر ادمین» که رابط ها در وب سایت دواایندیا را برنامه ریزی می کرد، نقص امنیتی را یافت و اطلاعات به دست آمده را با مقامات امنیت سایبری هندوستان به اشتراک گذاشت.

البته زِوِر در یافته های خود اعلام کرد این باگ برطرف شده است. افشای اطلاعات در حالی رخ می دهد که شرکت زوتا مشغول گسترش کسب و کار خرده فروشی دواایندیا فارماسی است. این شرکت بیش از ۲۳۰۰ فروشگاه در سراسر هند دارد از جمله ۲۷۶ فروشگاه جدید که در ژانویه اعلام شدند و قصد دارد طی دو سال آینده ۱۲۰۰ تا ۱۵۰۰ فروشگاه دیگر نیز به شبکه خود اضافه کند.

به گفته محقق امنیتی مذکور شکاف امنیتی در نتیجه یک رابط غیر ایمن ادمین رخ داده که به کاربران احراز نشده اجازه می داد حساب های کاربری «سوپر ادمین» با امتیازهای بالا ایجاد کنند. یک مهاجم سایبری با دستیابی به چنین سطحی از دسترسی می توانست هزاران سفارش آنلاین حاوی اطلاعات مشتریان رامشاهده کند، فهرست محصولات و قیمت ها را اصلاح کند، کوپن های تخفیفی بسازد و تنظیمات مربوط به آنکه برخی داروهای خاص نیازمند نسخه هستند یا خیر را تغییر دهد.

زِوِر با توجه به سیستم برچسب های زمانی اعلام کرد رابط های مدیریتی که آسیب پذیر به نظر می رسند از اواخر ۲۰۲۴ میلادی فعال بوده اند. امکان دسترسی حدود ۱۷ هزار سفارش آنلاین و قابلیتهای کنترل مدیریتی ۸۸۳ فروشگاه را در معرض افشا قرار داده و امکان تغییر قیمت محصولات، الزامات نسخه و تخفیف‌های تبلیغاتی را فراهم کرده است. به گفته وی این دسترسی، ویرایش‌هایی را در محتوای وب‌سایت امکان‌پذیر کرده است که می‌توانسته برای تخریب یا اختلال استفاده شود.