افشای اطلاعات مشتریان و سامانه‌های داخلی غول زنجیره دارویی هند

0 0 2 دقیقه مطالعه

“`html

یک نقص امنیتی توسط یکی از بزرگ‌ترین زنجیره‌های داروخانه در هند باعث شد افراد غیرمجاز کنترل کامل مدیریتی بر بستر این شرکت پیدا کنند و داده‌های سفارش مشتریان و بخش‌های حساس مربوط به داروها در معرض افشا قرار گیرد، به گزارش خبرنگار.

این مشکل مربوط به داروخانه DavaIndia بود که شرکت Zota Healthcare آن را اداره می‌کند و یک شبکه بزرگ از فروشگاه‌های حضوری را در سراسر هند پوشش می‌دهد. یک پژوهشگر امنیتی به نام ایتون زوار به منبع گفت که این نقص را پس از شناسایی رابط‌های برنامه‌نویسی “سوپر ادمین” غیرایمن در وبسایت DavaIndia کشف کرده و جزئیات آن را به صورت خصوصی با مقامات امنیت سایبری هند در میان گذاشته است.

این باگ اکنون رفع شده و زوار یافته‌های خود را منتشر کرده است.

این مشکل در حالی افشا شد که Zota Healthcare با سرعت در حال توسعه کسب‌وکار فروشگاهی DavaIndia است. این شرکت که دفتر مرکزی آن در گجرات قرار دارد، بیش از ۲۳۰۰ فروشگاه DavaIndia را در سراسر هند اداره می‌کند، از جمله ۲۷۶ شعبه‌ی جدید که در دی ماه اعلام شدند و قصد دارد طی دو سال آینده ۱۲۰۰ تا ۱۵۰۰ شعبه دیگر نیز راه‌اندازی کند.

زوار به منبع گفت که این نقص به علت رابط‌های مدیریتی ناامن به وجود آمده بود که به کاربران ناشناس اجازه می‌داد حساب‌های “سوپر ادمین” با سطح دسترسی بسیار بالا بسازند.

با این سطح از دسترسی، مهاجم می‌توانست هزاران سفارش آنلاین حاوی اطلاعات مشتریان را مشاهده کند، لیست محصولات و قیمت‌ها را تغییر دهد، کد تخفیف ایجاد کند و تنظیماتی را که تعیین می‌کنند آیا برخی داروها نیاز به نسخه دارند یا خیر، تغییر دهد.

بر اساس زمان‌ثبت سیستم، زوار اعلام کرد که رابط‌های مدیریتی آسیب‌پذیر احتمالاً از اواخر سال ۱۴۰۳ فعال بودند. این دسترسی نزدیک به ۱۷ هزار سفارش آنلاین و کنترل‌های مدیریتی مربوط به ۸۸۳ شعبه را در معرض خطر قرار داده بود و امکان تغییر قیمت محصولات، نیاز به نسخه و تخفیف‌های تبلیغاتی را می‌داد. زوار گفت که این دسترسی حتی اجازه می‌داد محتوای وبسایت ویرایش شود که می‌توانست برای تغییر ظاهر یا اختلال در سایت مورد استفاده قرار گیرد.

داده‌های سفارشات داروخانه مخصوصاً حساس هستند، زیرا می‌توانند اطلاعات مربوط به شرایط سلامتی، داروهای مصرفی یا خریدهای خصوصی افراد را افشا کنند. افشای این داده‌ها، حتی اگر مدرکی از سوءاستفاده وجود نداشته باشد، نسبت به سایر اطلاعات مصرف‌کنندگان ریسک بالاتر حریم خصوصی و ایمنی بیمار را به همراه دارد.

زوار گفته است: «اطلاعات مشتریان به سفارشاتشان متصل بود؛ این شامل نام، شماره تلفن، ایمیل، آدرس پستی، مبلغ پرداختی کل و کالاهای خریداری‌شده می‌شود. از آن‌جا که این یک داروخانه است، ممکن است محصولات خریداری‌شده برای برخی افراد خصوصی یا حتی ناخوشایند تلقی شود.»

زوار بیان کرد که این موضوع را در مرداد ۱۴۰۴ به آژانس واکنش به بحران‌های سایبری ملی هند (CERT-In) گزارش داده است. آسیب‌پذیری ظرف چند هفته برطرف شد، گرچه تاییدیه شرکت برای مقامات سایبری تا اواخر آذر ماه ارائه نشد.

مدیرعامل Zota Healthcare، سوجیت پاول، به ایمیل‌های ارسال‌شده توسط خبرنگار در ماه گذشته پاسخ نداد. پژوهشگر بیان کرد هیچ نشانه‌ای مبنی بر سوءاستفاده از این نقص پیش از رفع آن وجود نداشته است.

“`

Post Views: 2