TechCrunch가 새로 발표한 정보에 따르면 인도 Zota Healthcare의 제약 계열사인 DavaIndia Pharmacy의 보안 취약점으로 인해 외부인이 플랫폼 관리를 완전히 제어할 수 있게 되어 고객 주문 데이터와 민감한 약물 제어 기능이 유출되었습니다.
보안 연구 전문가인 Eaton Zveare에 따르면 그는 DavaIndia 웹사이트에서 안전하지 않은 "고위 관리자" 응용 프로그램 프로그래밍 인터페이스(API)를 식별한 후 취약점을 발견했으며 인도 사이버 보안 기관과 자세한 정보를 공유했습니다.
이 오류는 현재 수정되었으며 Zveare는 자신의 발견을 발표했습니다.
이 정보는 Zota Healthcare가 DavaIndia Pharmacy의 소매 사업을 빠르게 확장하고 있는 상황에서 발표되었습니다. 구자라트에 본사를 둔 이 회사는 2026년 1월에 발표된 276개의 새로운 매장을 포함하여 인도 전역에 2,300개 이상의 DavaIndia 매장을 운영하고 있으며, 향후 2년 동안 1,200~1,500개의 매장을 추가할 계획입니다.
Zveare는 TechCrunch와의 인터뷰에서 이 취약점은 안전하지 않은 관리 인터페이스에서 비롯되었으며, 이를 통해 인증되지 않은 사용자가 높은 권한을 가진 "슈퍼 관리자" 계정을 만들 수 있다고 말했습니다.
연구원에 따르면, 그러한 접근 수준으로 인해 공격자는 고객 정보가 포함된 수천 건의 온라인 주문을 보고, 제품 목록과 가격을 수정하고, 할인 쿠폰을 만들고, 특정 약품에 처방전이 필요한지 여부에 대한 설정을 변경할 수 있습니다.
시스템 타임스탬프를 기반으로 Zveare는 취약한 관리 인터페이스가 2024년 말부터 작동한 것으로 보인다고 말했습니다. 그는 액세스로 인해 거의 17,000건의 온라인 주문과 883개 매장에 걸쳐 광범위한 관리 제어 권한이 노출되어 제품 가격 변경, 처방 요청 및 프로모션 할인이 허용되었다고 말했습니다. Zveare는 액세스를 통해 웹사이트 콘텐츠를 편집할 수 있으며, 이는 파괴하거나 운영을 중단하는 데 사용될 수 있다고 말했습니다.
처방전 데이터는 특히 민감할 수 있습니다. 왜냐하면 개인의 건강 상태, 약물 또는 기타 개인 쇼핑 거래에 대한 정보를 유출할 수 있기 때문입니다. 이러한 데이터 유출은 남용에 대한 증거가 없더라도 다른 소비자 정보보다 환자의 개인 정보 보호 및 안전에 대한 위험이 더 높습니다.
고객 정보는 고객 주문과 연결됩니다. 여기에는 이름, 전화번호, 이메일 주소, 우편 주소, 총 결제 금액 및 구매한 제품이 포함됩니다. 약국이기 때문에 구매한 제품에 대한 정보는 개인 정보로 간주될 수 있으며 심지어 일부 사람들에게 불편함을 줄 수도 있습니다."라고 Zveare는 말했습니다.
Zveare 씨는 2025년 8월에 인도 국가 사이버 보안 긴급 대응 기관인 CERT-In에 이 문제를 보고했다고 밝혔습니다. 취약점은 몇 주 안에 해결되었지만 회사 측의 확인에는 더 많은 시간이 걸렸고 2025년 11월 말에야 사이버 보안 기관에 제공되었습니다.
