- O bug da DavaIndia Pharmacy permite que usuários não autenticados criem contas de “superadministrador” com privilégios totais
- Dados confidenciais de clientes relacionados a pedidos foram expostos, incluindo condições de saúde, medicamentos e dados pessoais
- Bug lançado de forma responsável em 2024, corrigido até final de 2025; nenhuma evidência de exploração maliciosa, os dados do cliente provavelmente estão seguros
Uma grande cadeia farmacêutica indiana utilizou uma plataforma falha que expôs dados altamente sensíveis de milhões de utilizadores, alertaram especialistas.
A DavaIndia Pharmacy, braço farmacêutico da Zota Healthcare, possui atualmente mais de 2.300 lojas em todo o país; no entanto, sua plataforma apresentava falhas, permitindo que usuários não autenticados criassem contas de “superadministrador”.
Essas contas vinham com altos privilégios, permitindo que os invasores acessassem informações altamente confidenciais: informações de clientes (incluindo condições de saúde, medicamentos e outras compras privadas), manipulassem listas de produtos (que podem alterar receitas e preços), criassem descontos, cupons, alterassem medicamentos prescritos e muito mais.
Corrigindo o erro
A falha foi descoberta pelo pesquisador de segurança Eaton Zveare, que disse que a falha foi introduzida no final de 2024 e desde então expôs cerca de 17.000 pedidos online e controles administrativos em mais de 800 lojas.
“As informações do cliente estavam vinculadas aos seus pedidos”, disse Zvear TechCrunch. “Isso inclui nome, números de telefone, e-mail, endereços postais, valor total pago e produtos adquiridos. Por ser uma farmácia, os produtos adquiridos podem ser considerados privados e podem até ser constrangedores para algumas pessoas.”
Em agosto de 2025, Zveare divulgou obedientemente as suas conclusões ao CERT-In, a agência nacional de resposta a emergências de segurança cibernética do país. Depois de algumas semanas, em meados de setembro, ele percebeu que o erro havia sido corrigido e pediu confirmação. No entanto, a DavaIndia deu a sua confirmação no final de novembro de 2025.
Zveare disse que não há evidências de que um agente malicioso tenha descoberto essa falha antes e que os dados do cliente provavelmente estejam seguros. Portanto, nenhuma ação é necessária por parte do usuário: senhas, dados de pagamento e outros segredos permanecem seguros.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
