В августе 2025 года исследователь Этон Звеар обнаружил в DavaIndia Pharmacy уязвимость, позволявшую создать неавторизованный «super admin»‑аккаунт через API. Злоумышленник смог просматривать заказы, менять цены, создавать купоны и изменять требования к рецептам.
Что произошло
Уязвимость существовала с конца 2024 года, затронула более 883 магазина сети и охватила почти 17 000 заказов с персональными данными клиентов — имена, телефоны, адреса, суммы покупок и состав препаратов. После того как Звеар сообщил об этом в CERT‑In, компания исправила ошибку в течение нескольких недель; официальное подтверждение появилось в конце ноября.
Почему это важно
Фармацевтические заказы включают сведения о состоянии здоровья; утечка этих данных нарушает конфиденциальность пациентов. Доступ к админ‑панели также даёт возможность менять цены и условия отпуска лекарств, что противоречит регуляторным требованиям.