Falha em APIs expõe dados sensíveis em rede farmacêutica indiana

Uma falha de segurança em uma das maiores redes de farmácias da Índia permitiu que usuários não autenticados obtivessem controle administrativo total da plataforma, expondo dados de clientes e funções críticas relacionadas ao controle de medicamentos. A vulnerabilidade afetou a DavaIndia Pharmacy, braço de varejo farmacêutico da Zota Healthcare.

A descoberta foi feita pelo pesquisador Eaton Zveare, que identificou interfaces de programação (APIs) de “super admin” expostas e sem autenticação adequada no site da empresa. A falha permitia que qualquer pessoa criasse contas com privilégios elevados, obtendo acesso irrestrito ao sistema interno.

Com acesso de super administrador, um invasor poderia visualizar milhares de pedidos online contendo informações sensíveis de clientes, alterar preços de produtos, criar cupons de desconto e modificar regras sobre exigência de prescrição médica para determinados medicamentos.

Segundo o pesquisador, os registros indicam que as interfaces vulneráveis estavam ativas desde o final de 2024. A exposição envolveu quase 17 mil pedidos online e controles administrativos de 883 lojas. Além disso, seria possível editar conteúdos do site, abrindo margem para desfiguração (defacement) ou interrupção de serviços.

Dados de pedidos em farmácias são especialmente sensíveis, pois podem revelar condições de saúde, medicamentos utilizados e outras compras de caráter privado. Mesmo sem indícios de exploração maliciosa, a simples exposição representa risco elevado à privacidade e à segurança dos pacientes.

Entre as informações acessíveis estavam nome, telefone, e-mail, endereço, valor total pago e lista de produtos adquiridos. Em um contexto farmacêutico, esses dados podem expor informações médicas delicadas.

O problema foi comunicado ao CERT-In, agência nacional de resposta a incidentes cibernéticos da Índia, em agosto de 2025. A vulnerabilidade foi corrigida poucas semanas depois, embora a confirmação formal da empresa às autoridades tenha ocorrido apenas no final de novembro.

Até o momento, não há evidências de que a falha tenha sido explorada antes da correção.

A exposição ocorre em um momento de rápida expansão da DavaIndia. A Zota Healthcare, sediada em Gujarat, opera mais de 2.300 lojas no país, incluindo 276 novas unidades anunciadas em janeiro, com planos de abrir entre 1.200 e 1.500 novas lojas nos próximos dois anos.

O episódio mostra os desafios de segurança enfrentados por empresas que crescem aceleradamente e precisam equilibrar escalabilidade digital com controles robustos de acesso e governança de APIs.