Kebocoran Data di Raksasa Apotek India Ungkap Ribuan Catatan Pelanggan

Kerentanan keamanan yang signifikan di salah satu retailer farmasi terbesar di India telah mengekspos data pelanggan dan operasional yang sensitif kepada potensi akses tidak sah. Insiden yang melibatkan DavaIndia Pharmacy, yang dioperasikan oleh Zota Healthcare, mengungkapkan bagaimana ekspansi bisnis yang cepat kadang-kadang dapat mengaburkan langkah-langkah keamanan siber yang penting. Investigasi TechCrunch menemukan bahwa jaringan farmasi India tersebut meninggalkan sistem administratifnya hampir tanpa perlindungan, memungkinkan siapa saja dengan pengetahuan teknis dasar untuk mendapatkan kendali penuh atas informasi pelanggan dan operasi toko.

Bagaimana Akses Admin yang Tidak Aman Membuat Data Pelanggan Rentan

Peneliti keamanan Eaton Zveare menemukan bahwa platform DavaIndia mengandung API “super admin” yang kurang aman dan tidak memerlukan autentikasi untuk diakses. Cacat kritis ini berarti siapa saja dapat membuat akun administrator tingkat tinggi dan mendapatkan akses tanpa batas ke seluruh operasi farmasi. Setelah masuk, pelaku jahat dapat memanipulasi hampir setiap aspek bisnis.

Skala kerusakan yang mungkin terjadi sangat luas. Penyerang bisa mengakses ribuan pesanan pelanggan yang berisi informasi kesehatan pribadi, mengubah harga dan ketersediaan produk, menghasilkan kode promosi palsu, dan yang paling berbahaya, mengubah persyaratan resep obat—yang berpotensi memungkinkan penjualan obat terbatas tanpa verifikasi yang tepat. Antarmuka administratif yang rentan ini telah dapat diakses sejak akhir 2024, meninggalkan sistem terbuka selama beberapa bulan.

Selama periode paparan ini, sekitar 17.000 pesanan online dan kontrol administratif untuk 883 lokasi farmasi di seluruh India tetap terkompromi. Ini berarti aturan resep, struktur harga, dan penawaran promosi bisa diubah tanpa terdeteksi atau izin.

Pertumbuhan Rantai Farmasi India Melebihi Langkah Keamanan

Perusahaan induk DavaIndia, Zota Healthcare, telah mengalami ekspansi pesat sementara kerentanan ini tetap tidak tertangani. Berbasis di Gujarat, perusahaan ini saat ini mengoperasikan lebih dari 2.300 outlet farmasi di seluruh negeri. Baru-baru ini, mereka membuka 276 lokasi baru pada awal 2025 dan memiliki rencana agresif untuk membuka tambahan 1.200 hingga 1.500 toko dalam dua tahun ke depan.

Lintasan pertumbuhan ini menyoroti pola umum pada perusahaan yang berkembang pesat: perluasan infrastruktur terkadang terjadi lebih cepat daripada penerapan dan pemeliharaan protokol keamanan yang memadai.

Kerentanan Data Farmasi yang Sensitif

Rekaman farmasi pelanggan merupakan salah satu informasi paling pribadi yang tersedia secara online. Berbeda dengan transaksi ritel lainnya, pembelian obat dapat mengungkap kondisi kesehatan secara rinci, pengobatan kesehatan mental, pengelolaan penyakit kronis, dan informasi medis pribadi lainnya. Insiden kebocoran data di India ini menampilkan data semacam itu.

Menurut analisis Zveare, data pesanan yang dikompromikan mencakup nama pelanggan, nomor telepon, email, alamat surat, jumlah pembayaran, dan catatan pembelian itemisasi. “Informasi ini bisa sangat pribadi atau bahkan memalukan bagi beberapa individu,” jelas Zveare, menambahkan bahwa produk farmasi sering menunjukkan kondisi kesehatan yang sensitif yang lebih baik dirahasiakan pengguna.

Penemuan dan Penyelesaian Insiden Farmasi India

Zveare secara pribadi melaporkan temuan ini kepada pejabat keamanan siber India dan CERT-In (tim respons keamanan siber nasional India) pada pertengahan 2025. Kerentanan ini diselesaikan dalam beberapa minggu setelah laporan awal. Namun, konfirmasi resmi dari DavaIndia baru diberikan kepada otoritas pada akhir tahun, menurut garis waktu Zveare.

TechCrunch mencoba menghubungi Sujit Paul, CEO Zota Healthcare, untuk memberikan komentar tetapi tidak menerima tanggapan. Zveare mengonfirmasi bahwa saat ini tidak ada bukti bahwa kerentanan keamanan tersebut telah dieksploitasi secara jahat sebelum diperbaiki, meskipun keberadaan kerentanan ini saja sudah merupakan pelanggaran besar terhadap kepercayaan pelanggan.

Insiden ini menegaskan pentingnya penilaian keamanan selama masa pertumbuhan pesat, dan perlunya perusahaan—terutama yang menangani data farmasi dan kesehatan yang sensitif—untuk menjaga protokol autentikasi yang kokoh dan audit keamanan secara rutin.