Major Security Lapse at DavaIndia Pharmacy Exposes Sensitive Medical Data

Major Security Lapse at DavaIndia Pharmacy Exposes Sensitive Medical Data

Major Security Lapse at DavaIndia Pharmacy Exposes Sensitive Medical Data

DavaIndia Pharmacy, one of India’s largest retail drug chains, recently suffered a significant security breach that left customer data and critical drug-control functions vulnerable to unauthorized access. 

The lapse was uncovered by security researcher Eaton Zveare, who identified insecure "super admin" Application Programming Interfaces (APIs) on the company’s web platform. 

This flaw allowed unauthenticated users to gain high-level privileges, potentially compromising the digital infrastructure of a firm that currently operates over 2,300 stores across the country.

The technical vulnerability was particularly severe because it enabled the creation of administrative accounts without proper authentication. 

With this "super admin" access, an attacker could have viewed nearly 17,000 online orders, modified product prices, and created fraudulent discount coupons. 

Most alarmingly, the breach granted control over sensitive settings, such as the ability to toggle whether specific medications required a prescription, posing a direct threat to regulatory compliance and patient safety.

Beyond operational disruption, the exposure of pharmacy records carries profound privacy implications. 

Unlike standard retail data, medical orders can reveal a person's private health conditions and specific medication history. 

Zveare noted that the exposed database linked customer names, phone numbers, and home addresses directly to their specific purchases. 

The sensitivity of this information means that even without evidence of malicious exploitation, the potential risk to patient confidentiality is far higher than typical consumer data leaks.

The timeline of the vulnerability suggests that these administrative interfaces were accessible since late 2024, covering hundreds of physical stores and thousands of digital transactions. 

Zota Healthcare, the parent company of DavaIndia, is currently in a phase of rapid expansion, with plans to open up to 1,500 additional locations. 

This rapid growth underscores the critical need for robust cybersecurity frameworks to protect the increasing volume of sensitive data managed by expanding healthcare retailers.

The issue was resolved after the researcher reported the flaw to CERT-In, India’s national cyber emergency response agency, in August 2025. 

While the vulnerability was patched within a few weeks, official confirmation from the company was not provided to authorities until late November. 

Fortunately, there is currently no evidence to suggest that the data was harvested or misused by malicious actors before the fix was implemented.

दवाइंडिया फार्मेसी में बड़ी सिक्योरिटी चूक से सेंसिटिव मेडिकल डेटा सामने आया

भारत की सबसे बड़ी रिटेल दवा चेन में से एक, दवाइंडिया फार्मेसी में हाल ही में एक बड़ी सिक्योरिटी ब्रीच हुई, जिससे कस्टमर डेटा और ज़रूरी ड्रग-कंट्रोल फंक्शन बिना इजाज़त एक्सेस के खतरे में आ गए।

इस चूक का पता सिक्योरिटी रिसर्चर ईटन ज़्वेरे ने लगाया, जिन्होंने कंपनी के वेब प्लेटफॉर्म पर असुरक्षित "सुपर एडमिन" एप्लीकेशन प्रोग्रामिंग इंटरफेस (APIs) की पहचान की।

इस कमी की वजह से बिना ऑथेंटिकेशन वाले यूज़र्स को हाई-लेवल प्रिविलेज मिल गए, जिससे उस फर्म के डिजिटल इंफ्रास्ट्रक्चर को खतरा हो सकता था जो अभी देश भर में 2,300 से ज़्यादा स्टोर चलाती है।

यह टेक्निकल कमी खास तौर पर गंभीर थी क्योंकि इससे बिना सही ऑथेंटिकेशन के एडमिनिस्ट्रेटिव अकाउंट बनाए जा सकते थे।

इस "सुपर एडमिन" एक्सेस से, एक अटैकर लगभग 17,000 ऑनलाइन ऑर्डर देख सकता था, प्रोडक्ट की कीमतें बदल सकता था, और धोखाधड़ी वाले डिस्काउंट कूपन बना सकता था।

 सबसे चिंता की बात यह है कि इस ब्रीच ने सेंसिटिव सेटिंग्स पर कंट्रोल दे दिया, जैसे कि यह टॉगल करने की एबिलिटी कि खास दवाओं के लिए प्रिस्क्रिप्शन की ज़रूरत है या नहीं, जिससे रेगुलेटरी कम्प्लायंस और मरीज़ की सेफ्टी को सीधा खतरा है।

ऑपरेशनल रुकावट के अलावा, फार्मेसी रिकॉर्ड के सामने आने से प्राइवेसी पर गहरा असर पड़ता है।

स्टैंडर्ड रिटेल डेटा के उलट, मेडिकल ऑर्डर किसी व्यक्ति की प्राइवेट हेल्थ कंडीशन और खास मेडिकेशन हिस्ट्री का पता लगा सकते हैं।

ज़्वेरे ने बताया कि सामने आए डेटाबेस ने कस्टमर के नाम, फ़ोन नंबर और घर के पते सीधे उनकी खास खरीदारी से जोड़े।

इस जानकारी की सेंसिटिविटी का मतलब है कि गलत इरादे से गलत इस्तेमाल के सबूत के बिना भी, मरीज़ की प्राइवेसी के लिए संभावित रिस्क आम कंज्यूमर डेटा लीक से कहीं ज़्यादा है।

इस वल्नरेबिलिटी की टाइमलाइन बताती है कि ये एडमिनिस्ट्रेटिव इंटरफ़ेस 2024 के आखिर से एक्सेसिबल थे, जिसमें सैकड़ों फिजिकल स्टोर और हज़ारों डिजिटल ट्रांज़ैक्शन शामिल थे।

दवाइंडिया की पेरेंट कंपनी ज़ोटा हेल्थकेयर, अभी तेज़ी से विस्तार के फेज़ में है, और 1,500 और जगहों पर खोलने का प्लान है।

 यह तेज़ी से बढ़ोतरी इस बात पर ज़ोर देती है कि हेल्थकेयर रिटेलर्स द्वारा मैनेज किए जा रहे सेंसिटिव डेटा की बढ़ती मात्रा को सुरक्षित रखने के लिए मज़बूत साइबर सिक्योरिटी फ्रेमवर्क की बहुत ज़रूरत है।

अगस्त 2025 में, जब रिसर्चर ने भारत की नेशनल साइबर इमरजेंसी रिस्पॉन्स एजेंसी CERT-In को इस कमी के बारे में बताया, तो यह समस्या हल हो गई।

हालांकि कुछ हफ़्तों में ही इस कमी को ठीक कर दिया गया था, लेकिन कंपनी की तरफ़ से नवंबर के आखिर तक अधिकारियों को इसकी ऑफिशियल पुष्टि नहीं दी गई थी।

अच्छी बात यह है कि अभी इस बात का कोई सबूत नहीं है कि फिक्स लागू होने से पहले गलत इरादे वाले लोगों ने डेटा इकट्ठा किया था या उसका गलत इस्तेमाल किया था।

దావాఇండియా ఫార్మసీలో జరిగిన పెద్ద భద్రతా లోపం సున్నితమైన వైద్య డేటాను బహిర్గతం చేసింది

భారతదేశంలోని అతిపెద్ద రిటైల్ డ్రగ్ చైన్‌లలో ఒకటైన దావాఇండియా ఫార్మసీ ఇటీవల గణనీయమైన భద్రతా ఉల్లంఘనను ఎదుర్కొంది, దీని వలన కస్టమర్ డేటా మరియు కీలకమైన డ్రగ్-కంట్రోల్ ఫంక్షన్‌లు అనధికార యాక్సెస్‌కు గురయ్యే అవకాశం ఉంది.

ఈ లోపాన్ని భద్రతా పరిశోధకుడు ఈటన్ జ్వేరే కనుగొన్నారు, అతను కంపెనీ వెబ్ ప్లాట్‌ఫామ్‌లో అసురక్షిత "సూపర్ అడ్మిన్" అప్లికేషన్ ప్రోగ్రామింగ్ ఇంటర్‌ఫేస్‌లు (APIలు) గుర్తించాడు.

ఈ లోపం ప్రామాణీకరించబడని వినియోగదారులు ఉన్నత స్థాయి అధికారాలను పొందేందుకు వీలు కల్పించింది, ప్రస్తుతం దేశవ్యాప్తంగా 2,300 కంటే ఎక్కువ స్టోర్‌లను నిర్వహిస్తున్న సంస్థ యొక్క డిజిటల్ మౌలిక సదుపాయాలను రాజీ చేసే అవకాశం ఉంది.

సాంకేతిక దుర్బలత్వం ముఖ్యంగా తీవ్రంగా ఉంది ఎందుకంటే ఇది సరైన ప్రామాణీకరణ లేకుండా అడ్మినిస్ట్రేటివ్ ఖాతాల సృష్టిని ఎనేబుల్ చేసింది.

ఈ "సూపర్ అడ్మిన్" యాక్సెస్‌తో, దాడి చేసే వ్యక్తి దాదాపు 17,000 ఆన్‌లైన్ ఆర్డర్‌లను వీక్షించి, ఉత్పత్తి ధరలను సవరించి, మోసపూరిత డిస్కౌంట్ కూపన్‌లను సృష్టించి ఉండవచ్చు.

అత్యంత ఆందోళనకరంగా, ఉల్లంఘన సున్నితమైన సెట్టింగ్‌లపై నియంత్రణను ఇచ్చింది, నిర్దిష్ట మందులకు ప్రిస్క్రిప్షన్ అవసరమా కాదా అని టోగుల్ చేయగల సామర్థ్యం, నియంత్రణ సమ్మతి మరియు రోగి భద్రతకు ప్రత్యక్ష ముప్పును కలిగిస్తుంది. 

కార్యాచరణ అంతరాయంతో పాటు, ఫార్మసీ రికార్డుల బహిర్గతం తీవ్ర గోప్యతా చిక్కులను కలిగి ఉంటుంది. 

ప్రామాణిక రిటైల్ డేటా వలె కాకుండా, వైద్య ఆర్డర్‌లు ఒక వ్యక్తి యొక్క ప్రైవేట్ ఆరోగ్య పరిస్థితులు మరియు నిర్దిష్ట మందుల చరిత్రను బహిర్గతం చేయగలవు. 

బహిర్గత డేటాబేస్ కస్టమర్ పేర్లు, ఫోన్ నంబర్‌లు మరియు ఇంటి చిరునామాలను నేరుగా వారి నిర్దిష్ట కొనుగోళ్లకు అనుసంధానించిందని జ్వెరే గుర్తించారు. 

ఈ సమాచారం యొక్క సున్నితత్వం అంటే హానికరమైన దోపిడీకి ఆధారాలు లేకపోయినా, రోగి గోప్యతకు సంభావ్య ప్రమాదం సాధారణ వినియోగదారు డేటా లీక్‌ల కంటే చాలా ఎక్కువగా ఉంటుంది.

దుర్బలత్వం యొక్క కాలక్రమం ఈ పరిపాలనా ఇంటర్‌ఫేస్‌లు 2024 చివరి నుండి అందుబాటులో ఉన్నాయని, వందలాది భౌతిక దుకాణాలు మరియు వేలాది డిజిటల్ లావాదేవీలను కవర్ చేస్తుందని సూచిస్తుంది. 

దావాఇండియా యొక్క మాతృ సంస్థ జోటా హెల్త్‌కేర్ ప్రస్తుతం వేగవంతమైన విస్తరణ దశలో ఉంది, 1,500 అదనపు స్థానాలను తెరవడానికి ప్రణాళికలు వేసింది. 

ఈ వేగవంతమైన పెరుగుదల ఆరోగ్య సంరక్షణ రిటైలర్‌లను విస్తరిస్తున్న ద్వారా నిర్వహించబడే సున్నితమైన డేటా యొక్క పెరుగుతున్న పరిమాణాన్ని రక్షించడానికి బలమైన సైబర్ భద్రతా చట్రాల యొక్క కీలకమైన అవసరాన్ని నొక్కి చెబుతుంది.

 ఆగస్టు 2025లో భారతదేశ జాతీయ సైబర్ అత్యవసర ప్రతిస్పందన సంస్థ అయిన CERT-Inకి పరిశోధకుడు ఈ లోపాన్ని నివేదించిన తర్వాత సమస్య పరిష్కరించబడింది. 

కొన్ని వారాల్లోనే ఈ దుర్బలత్వాన్ని సరిదిద్దినప్పటికీ, నవంబర్ చివరి వరకు కంపెనీ నుండి అధికారిక నిర్ధారణ అధికారులకు అందించబడలేదు. 

అదృష్టవశాత్తూ, పరిష్కారాన్ని అమలు చేయడానికి ముందు డేటాను దుర్వినియోగదారులు సేకరించారని లేదా దుర్వినియోగం చేశారని సూచించడానికి ప్రస్తుతం ఎటువంటి ఆధారాలు లేవు.