Une faille de sécurité de l’une des plus grandes chaînes de pharmacies indiennes a permis à des étrangers d’acquérir un contrôle administratif total sur sa plate-forme, exposant les données de commande des clients et les fonctions sensibles de contrôle des médicaments, a appris TechCrunch en exclusivité.
Le problème a touché DavaIndia Pharmacy, la branche pharmaceutique de Zota Healthcare, qui exploite un vaste réseau de points de vente à travers l’Inde. Le chercheur en sécurité Eaton Zveare a déclaré à TechCrunch qu’il avait découvert la faille après avoir identifié des interfaces de programmation d’applications « super-administrateurs » non sécurisées sur le site Web de DavaIndia et partagé des détails en privé avec les autorités indiennes de cybersécurité.
Le bug est désormais corrigé et Zveare a divulgué ses découvertes.
Cette exposition intervient alors que Zota Healthcare développe rapidement les activités de vente au détail de DavaIndia Pharmacy. La société, dont le siège est dans le Gujarat, exploite plus de 2 300 magasins DavaIndia à travers l’Inde, dont 276 nouveaux points de vente annoncés en janvier, et prévoit d’en ajouter 1 200 à 1 500 supplémentaires au cours des deux prochaines années.
Zveare a déclaré à TechCrunch que la faille provenait d’interfaces d’administration non sécurisées, qui permettaient à des utilisateurs non authentifiés de créer des comptes « super administrateur » avec des privilèges élevés.
Avec ce niveau de milliers d’accès, un attaquant pourrait consulter les commandes en ligne contenant des informations sur les clients, modifier les listes et les prix des produits, créer des coupons de réduction et modifier les paramètres déterminant si certains médicaments nécessitent ou non une ordonnance, a déclaré le chercheur.
Sur la base des horodatages du système, Zveare a déclaré que les interfaces administratives vulnérables semblaient être actives depuis fin 2024. L’accès a révélé près de 17 000 commandes en ligne et contrôles administratifs couvrant 883 magasins, a-t-il déclaré, permettant des modifications des prix des produits, des exigences de prescription et des remises promotionnelles. Zveare a déclaré que l’accès permettait de modifier le contenu du site Web qui aurait pu être utilisé à des fins de dégradation ou de perturbation.
Les données des commandes pharmaceutiques peuvent être particulièrement sensibles, car elles peuvent révéler des informations sur l’état de santé d’une personne, ses médicaments ou d’autres achats privés. L’exposition de ces données, même sans preuve d’utilisation abusive, comporte des risques accrus en matière de confidentialité et de sécurité des patients par rapport à d’autres informations destinées aux consommateurs.
« Les informations des clients étaient liées à leurs commandes », a déclaré Zveare. « Cela inclut le nom, les numéros de téléphone, les identifiants de messagerie, les adresses postales, le montant total payé et les produits achetés. Puisqu’il s’agit d’une pharmacie, les produits achetés pourraient être considérés comme privés et même embarrassants pour certaines personnes. «
Zveare a déclaré avoir signalé le problème au CERT-In, l’agence nationale indienne de réponse aux cyber-urgences, en août 2025. La vulnérabilité a été corrigée en quelques semaines, bien que la confirmation de la société ait pris plus de temps et ait été fournie aux cyber-autorités fin novembre, a-t-il déclaré.
Sujit Paul, directeur général de Zota Healthcare, n’a pas répondu aux e-mails envoyés par TechCrunch le mois dernier. Le chercheur a déclaré que rien n’indiquait que la faille avait été exploitée avant qu’elle ne soit corrigée.
