Un grave incidente di sicurezza ha interessato DavaIndia Pharmacy, la divisione farmaceutica di Zota Healthcare. Una falla nelle interfacce amministrative del suo sito web ha permesso a utenti non autenticati di creare account “super admin” con privilegi elevati, accedendo a dati sensibili di clienti e sistemi interni. La vulnerabilità è stata scoperta dal ricercatore Eaton Zveare, che ha segnalato il problema alle autorità indiane prima della pubblicazione dei dettagli.
Origini della vulnerabilità e scoperta
Eaton Zveare ha identificato API “super admin” insicure sul portale di DavaIndia, che consentivano l’escalation di privilegi.
In pratica, chiunque poteva registrarsi come amministratore con massimi privilegi senza alcuna autenticazione. Sulla base dei timestamp di sistema, la vulnerabilità risalirebbe a fine 2024. La segnalazione a CERT-In è avvenuta nell’agosto 2025, mentre il fix è stato implementato in poche settimane. La conferma ufficiale dell’avvenuta risoluzione è pervenuta solo a fine novembre 2025.
Questa forma di accesso non autorizzato ha permesso a possibili malintenzionati di visualizzare circa 17.000 ordini online, comprendenti informazioni personali quali nome, numero di telefono, email, indirizzo, importo pagato e prodotti acquistati. Era inoltre possibile modificare impostazioni critiche come prezzi, coupon sconto e requisiti per la prescrizione di farmaci.
Non solo, ma si potevano aggiornare contenuti web, esponendo a potenziali attacchi di defacement o disorientamento dei clienti.
Scala dell’impatto e rischi specifici
Zota Healthcare opera con oltre 2.300 punti vendita DavaIndia in India, con piani di espansione significativi. La falla ha interessato ben 883 negozi della catena, rivelando l’ampiezza e la diffusione del problema.
Il settore farmaceutico presenta rischi elevati in caso di esposizione dati: gli acquisti possono rivelare patologie, condizioni di salute o semplici timori personali. Anche in assenza di abusi espliciti, i metadati di acquisto (prodotti selezionati, frequenze delle transazioni, importi) possono costituire una forma di profilazione sensibile e invasiva, amplificando le conseguenze legali e reputazionali per l’azienda.
Contestualizzazione e reazione
Rispetto ad altri incidenti nel settore healthcare, la fuga di dati — pur senza riscontri di utilizzo illecito — è particolarmente critica quando include informazioni sanitarie. In questo caso, la divulgazione non autorizzata di ordini farmaceutici rappresenta un vettore di rischio ben più elevato rispetto a dati consumer generici.
La risposta dell’azienda, sebbene il bug sia stato corretto rapidamente, appare ritardata nella comunicazione. Il silenzio di Zota Healthcare alle richieste di informazioni segnala una gestione poco trasparente, che può erodere la fiducia dei clienti e degli stakeholder, oltre a sollevare interrogativi circa l’efficacia delle pratiche di cyber governance dell’azienda.
Implicazioni strategiche e migliori pratiche
L’incidente evidenzia la necessità di un rafforzamento delle pratiche di sicurezza per le aziende con infrastrutture ICT complesse. Le interfacce di amministrazione dovrebbero essere limitate, protette da autenticazioni robuste (idealmente a più fattori) e soggette a controlli regolari tramite penetration testing e audit di sicurezza. L’adozione di policy di least privilege può contrastare accessi non autorizzati.
La tempestività nel comunicare l’incidente e le sue implicazioni è anch’essa cruciale: pubblicare un resoconto preciso sulle azioni intraprese, i tempi e le misure aggiuntive impostate per la prevenzione futura è essenziale per ristabilire credibilità e conformità rispetto a normative emergenti.
Nelle attività di digitalizzazione accelerata — come quella in corso per DavaIndia — la sicurezza non può essere un tema secondario. Espandere a centinaia di negozi senza garantire che le API, le interfacce e i sistemi backend siano solidi costituisce un rischio sistemico.
Questo episodio conferma un trend globale: il settore sanitario e farmaceutico attira sempre più l’attenzione dei cybercriminali, data l’alto valore dei profili sanitari e della possibilità di sfruttare informazioni compromettenti per estorcere, ricattare o manipolare gli utenti.
In definitiva, il caso DavaIndia invita a un ripensamento strutturale delle pratiche di sicurezza nel retail farmaceutico digitale, un settore dove fiducia, dati sensibili e velocità di espansione richiedono un equilibrio difficile ma indispensabile.
