Hindistan eczane zincirinde kritik güvenlik açığı: müşteri verileri ve yönetici kontrolleri açığa çıktı

DavaIndia Pharmacy adlı eczane kolunda ortaya çıkan güvenlik açığı, dış kaynakların platformun tam yönetici (super admin) kontrolünü ele geçirmesine izin verecek düzeydeydi ve müşteri sipariş verileri ile hassas eczacılık kontrol fonksiyonlarını açığa çıkardı.

İhlalin kısa özeti

Güvenlik araştırmacısı Eaton Zveare tarafından tespit edilen sorun, şirketin web sitesindeki yönetici uygulama programlama arayüzlerinin (API) yetersiz güvencesinden kaynaklandı. Araştırmacı, bulguları ilgili siber güvenlik yetkililerine bildirdi; açıklanan verilere göre açık kapatıldı.

Hangi yetkiler ele geçirilebiliyordu?

Söz konusu açıklık, doğrulama gerektirmeyen yönetici arayüzlerinin kötüye kullanılmasına olanak veriyordu. Bu erişimle bir saldırgan:

• Müşteri siparişlerini ve buna bağlı isim, telefon, e-posta ve adres gibi kişisel bilgileri görüntüleyebiliyor,
• Ürün listeleme ve fiyatlarını değiştirebiliyor,
• İndirim kuponları oluşturabiliyor,
• Bazı ilaçların reçete gerektirip gerektirmediği gibi satış ayarlarını değiştirebiliyordu.

Etkilenen kapsam

Zveare’in söylediğine göre, zafiyet 2024 sonlarından beri aktif görünüyordu. Erişim neredeyse 17.000 çevrimiçi sipariş ve 883 mağazaya ait idari kontrolleri kapsıyordu; bu da ürün fiyatlandırma, reçete gereklilikleri ve promosyon ayarlarında değişiklik yapılabilmesi anlamına geliyordu. Ayrıca web sitesi içeriğinde değişiklik yapılmasıyla sayfa tahrifi veya operasyonel aksama yaratılabilirdi.

Müşteri gizliliği ve sağlık güvenliği riski

Eczane sipariş verileri, kişilerin sağlık durumları veya kullandıkları ilaçlarla ilgili hassas bilgiler barındırabildiği için normal tüketici bilgilerinden daha yüksek gizlilik ve hasta güvenliği riski taşır. Araştırmacı, “Müşteri bilgileri siparişlere bağlıydı; ad, telefon, e-posta, posta adresi, ödenen tutar ve satın alınan ürünler dahil” diyerek veri mahremiyetine vurgu yaptı.

Bildirim ve düzeltme süreci

Zveare, sorunu Ağustos 2025’te ülkenin siber acil müdahale kurumu CERT-In’e bildirdi. Açık birkaç hafta içinde kapatıldı; şirketten resmi onay ve yetkili mercilere bilgi verilmesi ise daha uzun sürdü ve son onay kasım ayı sonunda sağlandı.

Şu anki durum ve değerlendirme

Araştırmacı, zafiyetin yamalandığını belirtirken, yamalanmadan önce kötüye kullanımına dair bir belirti görmediğini söyledi. Ancak benzer güvenlik açıklarının hasta gizliliği ve tedarik zinciri güvenliği açısından ciddi sonuçlar doğurabileceği uzmanlarca vurgulanıyor.

Çıkarılacak dersler

Eczane ve sağlık hizmeti sağlayıcılarının dijital altyapılarında yönetici arayüzleri ve API güvenliğinin sağlanması, hem bireysel gizlilik hem de kamu sağlığı açısından kritik öneme sahip. Düzenli güvenlik denetimleri, erişim kontrollerinin sıkılaştırılması ve şeffaf bildirim süreçleri, benzer olayların etkisini azaltmada kilit rol oynar.