ভারতের বৃহত্তম ফার্মেসি চেইনগুলোর একটি, জোটা হেলথকেয়ারের অধীনস্থ দাভা ইন্ডিয়া ফার্মেসি, সম্প্রতি একটি নিরাপত্তা ত্রুটির কারণে অনধিকৃত ব্যবহারকারীদের সম্পূর্ণ প্রশাসনিক নিয়ন্ত্রণ প্রদান করেছিল। এই ত্রুটি অনলাইন অর্ডার ডেটা এবং ওষুধ নিয়ন্ত্রণ ফাংশন উন্মোচন করেছে।
দাভা ইন্ডিয়া ফার্মেসি দেশের বিভিন্ন শহরে রিটেইল আউটলেট পরিচালনা করে এবং জোটা হেলথকেয়ার গুজরাটে সদর দফতর স্থাপন করেছে। কোম্পানির নেটওয়ার্কে বর্তমানে প্রায় ২,৩০০টি স্টোর রয়েছে।
জানুয়ারি মাসে ২৭৬টি নতুন শাখা চালু করার ঘোষণা দেওয়া হয়েছিল, এবং আগামী দুই বছরে অতিরিক্ত ১,২০০ থেকে ১,৫০০টি স্টোর যোগ করার পরিকল্পনা রয়েছে। এই দ্রুত সম্প্রসারণের সঙ্গে সঙ্গে ডিজিটাল প্ল্যাটফর্মের নিরাপত্তা গুরুত্বপূর্ণ হয়ে উঠেছে।
একজন নিরাপত্তা গবেষক দ্য ওয়েবসাইটে ‘সুপার অ্যাডমিন’ এপিআই গুলির দুর্বলতা সনাক্ত করেন এবং তা প্রকাশের আগে সংশ্লিষ্ট কর্তৃপক্ষকে জানিয়ে দেন। গবেষকের মতে, এই এপিআই গুলি যথাযথ প্রমাণীকরণ ছাড়াই অ্যাক্সেসযোগ্য ছিল।
ফলস্বরূপ, কোনো ব্যবহারকারী সহজেই ‘সুপার অ্যাডমিন’ অ্যাকাউন্ট তৈরি করতে পারত, যার মাধ্যমে উচ্চ স্তরের অনুমতি প্রদান করা হতো। এই অনুমতিগুলি ব্যবহার করে আক্রমণকারী সাইটের ব্যাকএন্ডে পূর্ণ নিয়ন্ত্রণ পেত।
এ ধরনের প্রবেশাধিকার থাকলে আক্রমণকারী হাজার হাজার অনলাইন অর্ডার দেখতে পারত, পণ্যের তালিকা ও মূল্য পরিবর্তন করতে পারত, ছাড়ের কুপন তৈরি করতে পারত এবং নির্দিষ্ট ওষুধের প্রেসক্রিপশন প্রয়োজনীয়তা পরিবর্তন করতে পারত। এছাড়া, সাইটের কন্টেন্ট সম্পাদনা করে বিকৃতি বা সেবা ব্যাহত করা সম্ভব ছিল।
সিস্টেমের টাইমস্ট্যাম্প অনুযায়ী, এই দুর্বল এপিআই গুলি ২০২৪ সালের শেষের দিকে থেকে সক্রিয় ছিল। গবেষকের তথ্য অনুযায়ী, প্রায় ১৭,০০০টি অনলাইন অর্ডার এবং ৮৮৩টি স্টোরের প্রশাসনিক নিয়ন্ত্রণ এই সময়ে উন্মুক্ত ছিল।
ফার্মেসি অর্ডার ডেটা স্বাস্থ্যের অবস্থা, গ্রহণ করা ওষুধ বা ব্যক্তিগত ক্রয় সংক্রান্ত তথ্য ধারণ করে, যা গোপনীয়তার দৃষ্টিকোণ থেকে অত্যন্ত সংবেদনশীল। এই তথ্যের লিক হলে ব্যবহারকারীর গোপনীয়তা বিপন্ন হতে পারে।
দুর্বলতা সনাক্ত হওয়ার পর সংশ্লিষ্ট দল দ্রুত সমস্যার সমাধান শুরু করে এবং আজ পর্যন্ত এপিআই গুলি সুরক্ষিত করা হয়েছে। গবেষকও তার অনুসন্ধান প্রকাশের আগে সংশ্লিষ্ট সাইবারসিকিউরিটি সংস্থাকে জানিয়েছিলেন
