இந்தியாவின் முன்னணி பார்மசி நிறுவனத்தில் வாடிக்கையாளர் தரவுகள் கசிவு

இந்தியாவின் பிரபல 'தவா' (Dava) பார்மசி நிறுவனத்தில் மாபெரும் தரவு கசிவு – வாடிக்கையாளர் தகவல்கள் அம்பலம்!

இந்தியாவின் டிஜிட்டல் மருத்துவத்துறையில் பெரும் அதிர்வலையை ஏற்படுத்தும் விதமாக ஒரு மாபெரும் சைபர் பாதுகாப்புக் குறைபாடு வெளிச்சத்துக்கு வந்துள்ளது. இந்தியாவின் முன்னணி பார்மசி செயின் (Pharmacy chain) நிறுவனமான 'தவா' (Dava) நிறுவனத்தின் சர்வர்களில் ஏற்பட்ட பலவீனத்தால், வாடிக்கையாளர்களின் தனிப்பட்ட தகவல்கள் மற்றும் நிறுவனத்தின் மிக முக்கிய உள் கட்டமைப்புத் தரவுகள் (Internal systems) இணையத்தில் கசிந்துள்ளன.

இது குறித்த அதிர்ச்சியூட்டும் தகவல்களை பிரபல தொழில்நுட்ப செய்தி நிறுவனமான 'டெக்ரஞ்ச்' (TechCrunch) பிப்ரவரி 13, 2026 அன்று வெளியிட்டுள்ளது. டெக்ரஞ்ச் செய்தியாளர் ஜக்மீத் சிங் (Jagmeet Singh) எழுதியுள்ள இந்தக் கட்டுரை, இந்திய டிஜிட்டல் சுகாதாரக் கட்டமைப்பின் பாதுகாப்புக் குறைபாடுகளை தோலுரித்துக் காட்டியுள்ளது. இந்தத் தரவு கசிவு எப்படி நடந்தது, இதனால் வாடிக்கையாளர்களுக்கு என்ன பாதிப்பு என்பது குறித்த முழுமையான விவரங்களை இங்கே காண்போம்.

ஏபிஐ (API) குறைபாடு: தரவு கசிவுக்கான மூலகாரணம்

தவா பார்மசி நிறுவனத்தின் மென்பொருள் கட்டமைப்பில் பயன்படுத்தப்பட்ட ஒரு 'ஏபிஐ' (API - Application Programming Interface) அமைப்பில் இருந்த பாதுகாப்புக் குறைபாடே இந்த மாபெரும் தரவு கசிவுக்கு முக்கியக் காரணமாகும். ஏபிஐ என்பது ஒரு மென்பொருளும் மற்றொரு மென்பொருளும் தங்களுக்குள் தகவல்களைப் பரிமாறிக் கொள்ள உதவும் ஒரு தொழில்நுட்பப் பாலமாகும்.

இந்த ஏபிஐ அமைப்பை உரிய பாதுகாப்பு நடைமுறைகளுடன் (Authentication and Authorization) வடிவமைக்கத் தவறியதால், வெளியில் உள்ள எவரும் நிறுவனத்தின் சர்வர்களை மிக எளிதாக அணுகும் சூழல் ஏற்பட்டுள்ளது. பிரபல சைபர் பாதுகாப்பு ஆய்வாளரான ஈடன் ஸ்வியர் (Eaton Zveare) என்பவர்தான் இந்த மாபெரும் பாதுகாப்புக் குறைபாட்டைக் கண்டுபிடித்துள்ளார். அவர் நடத்திய ஆய்வில், எவ்வித பாஸ்வேர்டும் இன்றி, பாதுகாப்பற்ற நிலையில் இருந்த இந்த ஏபிஐ மூலம், நிறுவனத்தின் பேக்கெண்ட் (Backend) சிஸ்டம்களை யார் வேண்டுமானாலும் முழுமையாகத் தொடர்புகொள்ள முடியும் என்பது தெரியவந்துள்ளது.

சூப்பர் அட்மின் கணக்குகளும் பேராபத்தும்

இந்த ஏபிஐ குறைபாட்டில் மிகவும் ஆபத்தான விஷயம் என்னவென்றால், ஹேக்கர்கள் வெறும் தரவுகளைப் பார்ப்பதோடு மட்டுமில்லாமல், நிறுவனத்தின் கணினி அமைப்பில் தங்களுக்குத் தாங்களே 'சூப்பர் அட்மின்' (Super Admin) கணக்குகளை உருவாக்கிக் கொள்ள முடியும்.

சூப்பர் அட்மின் என்பது ஒரு சிஸ்டமில் உச்சபட்ச அதிகாரம் கொண்ட ஒரு கணக்காகும். இதை வைத்துக்கொண்டு தவா பார்மசியின் ஒட்டுமொத்த தரவுத்தளத்தையும் (Database) அணுக முடியும். வாடிக்கையாளர்களின் தகவல்களைத் திருடுவது, மாற்றுவது அல்லது ஒட்டுமொத்தமாக அழிப்பது போன்ற எந்தவொரு செயலையும் ஹேக்கர்களால் தடையின்றி செய்ய முடியும். சைபர் பாதுகாப்பு உலகில் இது மிகக் கடுமையான மற்றும் பேரழிவை ஏற்படுத்தக்கூடிய குறைபாடாகக் கருதப்படுகிறது.

எந்த வகையான தரவுகள் ஆபத்தில் உள்ளன?

இந்தக் குறைபாட்டின் மூலம் தவா நிறுவனத்தின் ஒட்டுமொத்த தரவுகளும் அம்பலமாகியுள்ளன. குறிப்பாக இரண்டு வகையான முக்கியத் தரவுகள் இதில் அடங்கும்:

1. வாடிக்கையாளர் தகவல்கள் (Customer Data):

வாடிக்கையாளர்களின் முழுப் பெயர்கள், வீட்டின் முகவரிகள் மற்றும் மொபைல் எண்கள்.
அவர்கள் வாங்கிய மருந்துகளின் பட்டியல் மற்றும் ஆர்டர் விவரங்கள் (Order History).
மருத்துவர்கள் வழங்கிய மருந்துச் சீட்டுகள் (Prescriptions) மற்றும் தனிப்பட்ட மருத்துவப் பதிவுகள்.
கணக்கு விவரங்கள் மற்றும் லாகின் தரவுகள்.

2. நிறுவனத்தின் உள் தரவுகள் (Internal Systems):

தவா பார்மசியின் மருந்துகள் இருப்பு (Inventory) மற்றும் விநியோகச் சங்கிலி (Supply chain) விவரங்கள்.
நாடு முழுவதும் உள்ள கிளைகளின் தினசரி வர்த்தகத் தரவுகள்.
ஊழியர்களின் தகவல்கள் மற்றும் நிறுவனத்தின் நிர்வாக ரகசியங்கள்.

மருத்துவத் தரவுகள்: ஹேக்கர்களின் மிக முக்கிய இலக்கு ஏன்?

மருத்துவத் தரவுகள் என்பவை ஒரு நபரின் மிக முக்கியமான அந்தரங்கத் தகவல்களாகும். ஒருவருக்கு என்ன நோய் இருக்கிறது, அவர் என்ன வகையான மாத்திரைகளைத் தொடர்ந்து சாப்பிடுகிறார், என்ன சிகிச்சை எடுக்கிறார் என்ற தகவல்கள் பொதுவெளியில் கசிவது அவர்களின் தனி உரிமைக்கு (Right to Privacy) விடப்பட்ட மாபெரும் சவாலாகும்.

கறுப்புச் சந்தையில் (Dark Web) ஒரு நபரின் கிரெடிட் கார்டு விவரங்களை விட, அவரின் மருத்துவப் பதிவுகளுக்கு அதிக விலை கொடுக்கப்படுகிறது. இந்தத் தரவுகளைப் பயன்படுத்தி மருத்துவக் காப்பீட்டு மோசடிகளை (Health Insurance Fraud) எளிதாகச் செய்ய முடியும் என்பதே இதற்கு முக்கியக் காரணமாகும்.

வாடிக்கையாளர்களைத் தொடரும் தனிநபர் அச்சுறுத்தல்கள்

இந்தத் தரவுகளைப் பயன்படுத்தி சைபர் குற்றவாளிகள் 'ஃபிஷிங்' (Phishing) எனப்படும் மோசடித் தாக்குதல்களை இலக்கு வைத்து நடத்த வாய்ப்புள்ளது. தவா பார்மசியில் இருந்து பேசுவதாகக் கூறி வாடிக்கையாளர்களைத் தொடர்புகொண்டு, "உங்கள் ஆர்டரில் பிரச்சனை உள்ளது" அல்லது "சலுகை விலையில் மருந்துகள் தருகிறோம்" என்று கூறி அவர்களின் வங்கி விவரங்களை அல்லது OTP எண்களைத் திருடலாம். மருத்துவ விவரங்கள் கசிந்துள்ளதால், இது வாடிக்கையாளர்களுக்கு பெரும் மன உளைச்சலையும் மிரட்டல்களையும் ஏற்படுத்தக் கூடும்.

டெக்ரஞ்ச் நிறுவனத்தின் பங்கும் தவா பார்மசியின் நடவடிக்கையும்

இந்தக் குறைபாட்டைக் கண்டறிந்த ஆய்வாளர் ஈடன் ஸ்வியர் மற்றும் டெக்ரஞ்ச் செய்தியாளர் ஜக்மீத் சிங் ஆகியோர் உடனடியாக தவா நிறுவனத்தின் கவனத்திற்கு இதைக் கொண்டு சென்றனர். இதன்பிறகு சுதாரித்துக்கொண்ட நிறுவனம், துரிதமாகச் செயல்பட்டு அந்த ஏபிஐ அமைப்பை முடக்கி, பாதுகாப்பை பலப்படுத்தியுள்ளது. தற்போது அந்த தொழில்நுட்ப ஓட்டை (Loophole) சரிசெய்யப்பட்டுவிட்டதாகத் தெரிவிக்கப்பட்டுள்ளது.

எனினும், இந்தக் குறைபாடு எவ்வளவு காலமாக இருந்தது? இதற்கு முன்பு வேறு ஏதேனும் ஹேக்கர்கள் இதைப் பயன்படுத்தி தரவுகளைத் திருடியுள்ளனரா? எத்தனை லட்சம் வாடிக்கையாளர்கள் இதனால் பாதிக்கப்பட்டுள்ளனர்? என்பது குறித்த உறுதியான தகவல்களை தவா நிறுவனம் இன்னும் வெளிப்படையாக அறிவிக்கவில்லை.

இந்தியாவில் தரவு பாதுகாப்புச் சட்டம் என்ன சொல்கிறது?

சமீப காலமாக இந்தியாவில் மருத்துவமனைகள் மற்றும் பார்மசி நிறுவனங்கள் மீதான சைபர் தாக்குதல்கள் அதிகரித்துக் கொண்டே வருகின்றன. இந்தியாவின் டிஜிட்டல் தனிநபர் தரவு பாதுகாப்புச் சட்டம் 2023 (Digital Personal Data Protection Act, 2023) படி, நிறுவனங்கள் வாடிக்கையாளர்களின் தரவுகளைப் பாதுகாக்கத் தவறினால் பல நூறு கோடிகள் வரை அபராதம் விதிக்க வழிவகை உள்ளது. தவா நிறுவனம் இந்த விஷயத்தில் அரசின் விசாரணையை எதிர்கொள்ள நேரிடலாம் என சட்ட வல்லுநர்கள் கருதுகின்றனர்.

வாடிக்கையாளர்களுக்கான பாதுகாப்பு வழிகாட்டுதல்கள்

நீங்கள் தவா பார்மசியின் ஆன்லைன் அல்லது ஆஃப்லைன் சேவைகளைப் பயன்படுத்தும் வாடிக்கையாளராக இருந்தால், உடனடியாகக் கீழ்க்கண்ட முன்னெச்சரிக்கை நடவடிக்கைகளை எடுப்பது சிறந்தது:

பாஸ்வேர்டை மாற்றுங்கள்: உங்கள் தவா பார்மசி ஆப் அல்லது இணையதளக் கணக்கின் பாஸ்வேர்டை (Password) உடனடியாக மாற்றுங்கள்.
சந்தேகத்திற்குரிய லிங்குகளைத் தவிர்க்கவும்: உங்கள் மொபைல் எண்ணுக்கோ அல்லது இமெயிலுக்கோ வரும் சந்தேகத்திற்குரிய இணைப்புகளை (Links) க்ளிக் செய்ய வேண்டாம்.
தகவல்களைப் பகிர வேண்டாம்: பார்மசியின் பெயரில் வரும் போன் கால்களில் வங்கி OTP, கிரெடிட் கார்டு விவரங்கள் அல்லது தனிப்பட்ட விவரங்களைப் பகிர்வதைத் தவிர்க்கவும்.
கண்காணிப்பு: உங்கள் வங்கிப் பரிவர்த்தனைகளைத் தொடர்ந்து கண்காணித்து வாருங்கள். தேவையற்ற பரிவர்த்தனைகள் நடந்தால் உடனடியாக வங்கியைத் தொடர்பு கொள்ளவும்.

இந்தத் தரவு கசிவு, தொழில்நுட்ப வளர்ச்சியின் இருண்ட பக்கத்தை நமக்கு நினைவூட்டுகிறது. டிஜிட்டல் சேவைகளை நாம் எவ்வளவு தூரம் நம்பியிருக்கிறோம் என்பதையும், அதேசமயம் நமது தரவுகள் எவ்வளவு பலவீனமான நிலையில் சேமிக்கப்படுகின்றன என்பதையும் தவா பார்மசி சம்பவம் உலகிற்கு உணர்த்தியுள்ளது.