Selon de nouvelles informations publiées par TechCrunch, une faille de sécurité de DavaIndia Pharmacy, la filiale pharmaceutique de Zota Healthcare en Inde, a permis à des étrangers de prendre le contrôle total de leur plateforme, divulguant des données de commandes de clients et des fonctions de contrôle de médicaments sensibles.
Selon l'expert en recherche sur la sécurité Eaton Zveare, il a découvert la faille après avoir identifié les interfaces de programmation d'applications (API) "administrateurs de haut niveau" dangereuses sur le site Web de DavaIndia et a partagé des informations détaillées avec les agences de cybersécurité indiennes.
Cette erreur a maintenant été corrigée et Zveare a publié ses conclusions.
Cette information a été publiée dans un contexte où Zota Healthcare étend rapidement les activités de vente au détail de DavaIndia Pharmacy. Cette société basée dans le Gujarat exploite plus de 2 300 magasins DavaIndia dans toute l'Inde, dont 276 nouveaux annoncés en janvier 2026, et prévoit d'ajouter 1 200 à 1 500 magasins supplémentaires au cours des deux prochaines années.
Zveare a déclaré à TechCrunch que cette faille provenait d'une interface de gestion non sécurisée, permettant aux utilisateurs non authentifiés de créer des comptes "administrateurs hiérarchiques" avec des pouvoirs élevés.
Selon les chercheurs, avec ce niveau d'accès, les attaquants peuvent consulter des milliers de commandes en ligne contenant des informations sur les clients, modifier des listes de produits et des prix, créer des coupons de réduction et modifier les réglages pour voir si certains médicaments nécessitent une ordonnance ou non.
Sur la base du chronomètre du système, Zveare a déclaré que les interfaces de gestion vulnérables semblaient fonctionner depuis fin 2024. Il a déclaré que l'accès avait révélé près de 17 000 commandes en ligne et que les contrôles de gestion s'étendaient sur 883 magasins, permettant de modifier les prix des produits, de demander des ordonnances et des réductions promotionnelles. Zveare a déclaré que l'accès permettait de modifier le contenu du site Web, ce qui pouvait être utilisé pour saboter ou interrompre les opérations.
Les données des ordonnances peuvent être particulièrement sensibles, car elles peuvent divulguer des informations sur l'état de santé, les médicaments ou d'autres transactions privées d'une personne. La divulgation de telles données, même sans preuve d'abus, comporte également un risque plus élevé pour la vie privée et la sécurité des patients que les autres informations des consommateurs.
Les informations sur les clients sont liées à leurs commandes. Cela comprend les noms, les numéros de téléphone, les adresses e-mail, les adresses postales, le montant total payé et les produits achetés. Comme il s'agit d'une pharmacie, les informations sur les produits achetés peuvent être considérées comme des informations privées et même mettre certaines personnes mal à l'aise", a déclaré Zveare.
M. Zveare a déclaré avoir signalé ce problème à CERT-In, l'agence nationale indienne de réponse aux urgences de cybersécurité, en août 2025. La faille a été corrigée en quelques semaines, bien que la confirmation de l'entreprise prenne plus de temps et ne soit fournie aux agences de cybersécurité qu'à la fin du mois de novembre 2025.
