概要
インドの大手薬局チェーンであるDavaIndia Pharmacy(Zota Healthcareの一部門)は、セキュリティ上の問題により外部から完全な管理者権限を得られ、顧客注文データや医薬品管理機能が漏洩したとTechCrunchが報じた。
発見と対応
セキュリティ研究者のイートン・ズベアは、DavaIndia Pharmacyのウェブサイト上の脆弱な「スーパーアドミン」APIを特定し、インドのサイバーセキュリティ当局に情報を共有した。
影響範囲
この問題により、約17,000件のオンライン注文データと883店舗の管理機能が暴露された。不正アクセスがあれば、商品価格や処方箋要件を変更したり、割引クーポンを作成したりすることができた。
脆弱性の詳細
ズベア氏は次のように述べている:
- 不正アクセス者は、顧客情報(名前、電話番号、メールアドレス、住所など)を含む数千件のオンライン注文データにアクセスできた。
- 商品リストや価格を変更し、割引クーポンを作成することができた。
- 特定の薬品が処方箋が必要かどうかを設定する機能へのアクセスがあった。
対応と修正
Zota Healthcareは、この脆弱性を報告されてから数週間で修正した。しかし、企業からの確認は遅れており、11月末にサイバーセキュリティ当局に対して提供された。
背景情報
DavaIndia Pharmacyは、インド全土に2,300以上の店舗を展開しており、今後2年間でさらに1,200から1,500の新規店舗を開設する計画がある。