- يتيح ثغرة DavaIndia Pharmacy للمستخدمين غير المصادقين إنشاء حسابات “مشرف متميز” تتمتع بامتيازات كاملة
- الكشف عن بيانات العملاء الحساسة المرتبطة بالطلبات، بما في ذلك الحالات الصحية والأدوية والتفاصيل الشخصية
- تم الكشف عن الخطأ بشكل مسؤول في عام 2024، وتم إصلاحه بحلول أواخر عام 2025؛ لا يوجد دليل على الاستغلال الضار، ومن المحتمل أن تكون بيانات العملاء آمنة
حذر الخبراء من أن سلسلة صيدليات هندية كبرى تدير منصة معيبة كشفت عن بيانات حساسة للغاية لملايين المستخدمين.
تدير صيدلية DavaIndia، ذراع الصيدلة لشركة Zota Healthcare، حاليًا أكثر من 2300 متجرًا في جميع أنحاء البلاد – ومع ذلك، تم التنصت على نظامها الأساسي بطريقة سمحت للمستخدمين غير المصادقين بإنشاء حسابات “مسؤول متميز”.
تأتي هذه الحسابات بامتيازات عالية، مما يسمح للمهاجمين بالوصول إلى معلومات حساسة للغاية: يمكنهم سرقة معلومات العملاء (بما في ذلك الظروف الصحية والأدوية والمشتريات الخاصة الأخرى)، والتلاعب بقوائم المنتجات (يمكنهم تعديل الإدخالات والأسعار)، وإنشاء خصومات، وكوبونات، وتغيير الأدوية التي تتطلب وصفة طبية من الطبيب، والمزيد.
إصلاح الخلل
تم اكتشاف الخطأ من قبل الباحث الأمني إيتون زفير، الذي قال إن الخطأ تم تقديمه في أواخر عام 2024 ومنذ ذلك الحين كشف ما يقرب من 17000 طلب عبر الإنترنت وعناصر تحكم إدارية عبر أكثر من 800 متجر.
وقال زفير: “تم ربط معلومات العملاء بطلباتهم”. تك كرانش. “يتضمن ذلك الاسم وأرقام الهواتف ومعرفات البريد الإلكتروني والعناوين البريدية والمبلغ الإجمالي المدفوع والمنتجات المشتراة. وبما أن هذه صيدلية، فإن المنتجات التي يتم شراؤها يمكن اعتبارها خاصة وحتى محرجة لبعض الأشخاص.”
في أغسطس 2025، كشف زفير بشكل مسؤول عن النتائج التي توصل إليها إلى CERT-In، الوكالة الوطنية للاستجابة لطوارئ الأمن السيبراني في البلاد. وبعد بضعة أسابيع، في منتصف شهر سبتمبر، لاحظ أن الخلل قد تم إصلاحه، وطلب التأكيد. ومع ذلك، لم تقدم DavaIndia تأكيدها إلا في أواخر نوفمبر 2025.
وقال زفير إنه لا يوجد دليل على أن جهة خبيثه اكتشفت هذا الخلل من قبل، وأن بيانات العملاء آمنة على الأرجح. لذلك، لا يلزم اتخاذ أي إجراء من جانب المستخدم: تظل كلمات المرور وبيانات الدفع والأسرار الأخرى آمنة.
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات