概要

セキュリティ研究者のイートンによって発見された重大な脆弱性により、インド最大のジェネリック薬局チェーンであるダバ・インディアのオンラインインフラストラクチャで顧客の個人情報が漏洩し、内部管理システムへの不正アクセスが可能になった。

脆弱性の詳細

この問題は、ダバ・インディアのウェブサイト上の「パスワードを忘れた」コードがスーパーアドминистрータAPIを参照していることに起因した。研究者はこれらのエンドポイントを調査し、認証なしでスーパーアドミンユーザーの一覧を取得することができた。

影響

この脆弱性により、883の薬局店舗と約17,000件の顧客注文の詳細が閲覧可能になった。また、製品情報を編集する能力もあった。

具体的な影響

• データ漏洩: 17,000以上の顧客注文と個人情報、薬剤師のPINが漏洩した。
• システムコントロール: 不安全なAPIを通じてフルスーパーアドミンアクセスを取得した。
• 製品操作: 1,500以上の製品情報を編集し、価格や説明を変更することができた。さらに、処方箋が必要な制限薬物の要求を解除することも可能だった。
• 財務リスク: 100%割引クーポンを作成し、注文総額を大幅に削減することができた。
• 運用リスク: 883の店舗プロファイルと在庫管理へのアクセスがあった。

対応状況

イートンは、この問題をインドのコンピュータ緊急対応チーム（CERT-IN）に2025年8月に報告した。ダバ・インディアは2025年9月中旬までに脆弱性を修正し、11月末にはCERT-INに対して公式に解決を確認した。

結論

この事件は、オンラインシステムのセキュリティ管理が適切に行われていない場合に引き起こされる深刻な影響を示している。企業は定期的なセキュリティチェックと迅速な対応が必要である。

元記事: https://gbhackers.com/indias-largest-pharmacy-exposes/