DavaIndia Eczanesi, Zota Healthcare’ın bir parçası olarak, önemli bir güvenlik açığına maruz kaldı. Bu durum, dışarıdan kişilerin platform üzerinde tam yönetim kontrolü elde etmesine ve müşteri sipariş verileri ile hassas ilaç kontrol işlevlerinin ifşa olmasına yol açtı. Güvenlik araştırmacısı Eaton Zveare, DavaIndia’nın web sitesinde güvensiz “super admin” uygulama programlama arayüzlerini tespit ederek bu açığı keşfetti ve ayrıntıları Hint siber güvenlik yetkilileriyle paylaştı.
Açığın Etkileri ve Tespit Süreci
Açığın etkilediği DavaIndia Eczanesi, Hindistan genelinde geniş bir perakende ağına sahip. Zveare, tespit ettiği güvenlik açığını CERT-In, Hindistan’ın ulusal siber acil durum müdahale ajansına Ağustos 2025’te bildirdi. Açık, haftalar içinde kapatıldı ancak şirketten onay almak daha uzun sürdü ve siber otoritelerle ancak Kasım ayının sonlarında paylaşıldı.
Güvenlik Açıktan Satışlar ve Yönetim Kontrolleri
Bu güvenlik açığı sayesinde, bir saldırganın müşteri bilgilerini içeren binlerce çevrimiçi siparişi görüntüleyebileceği, ürün listelemelerini ve fiyatlarını değiştirebileceği, indirim kuponları oluşturabileceği ve bazı ilaçların reçete gerektirip gerektirmediği gibi ayarları değiştirebileceği belirtildi. Zveare, bu açığın 2024 yılı sonlarından itibaren aktif olduğunu ve yaklaşık 17,000 çevrimiçi siparişin yanı sıra 883 mağazayı kapsayan yönetim kontrollerine erişim sağladığını aktararak, ürün fiyatı, reçete gereksinimleri ve promosyon indirimleri üzerindeki değişikliklerin yapılabildiğini ifade etti.
Müşteri Bilgilerinin Hassasiyeti
Eczane sipariş verileri özellikle hassas olabilir, çünkü bir kişinin sağlık durumu, kullandığı ilaçlar veya diğer özel satın alımları hakkında bilgi ifşa edebilir. Böyle bir verinin açığa çıkması, kötüye kullanım kanıtı olmaksızın, diğer tüketici bilgilerine kıyasla daha yüksek mahremiyet ve hasta güvenliği riski taşıyor.
Zveare, müşteri bilgileriyle siparişlerin bağlı olduğunu belirtti. Bu bilgiler arasında isim, telefon numaraları, e-posta adresleri, posta adresleri, ödenen toplam miktar ve satın alınan ürünler bulunuyor. Eczane ürünleri, bazı insanlar için özel ve hatta utandırıcı sayılabilecek ürünler olduğundan, bu durumun önemi artıyor.
Zota Healthcare’ın CEO’su Sujit Paul, kendisine gönderilen e-postalara yanıt vermedi. Zveare, açığın düzeltildikten önce kötüye kullanıldığına dair bir belirti olmadığını açıkladı.
Bu durum, benzer güvenlik açıklarının önlenmesi açısından önemli bir ders niteliğindedir. Sizce, bu tür güvenlik önlemlerinin daha etkili bir şekilde uygulanması için hangi adımlar atılabilir?
