Petco удалила сайт Vetco после разоблачения личной информации клиентов
Компания Pet wellness Petco взяла часть своего веб-сайта Vetco Clinics в автономном режиме после того, как просрочка безопасности раскрыла множество личной информации клиентов в открытом Интернете.
После того, как TechCrunch предупредил компанию об открытых данных, касающихся клиентов Vetco и их домашних животных, Petco подтвердила в своем заявлении, что расследует утечку данных в своей ветеринарной компании, и отказалась от дальнейших комментариев.
Провал системы безопасности позволил любому пользователю в Интернете загрузить записи клиентов с веб-сайта Vetco без необходимости в информации для входа пользователя. По крайней мере одна запись клиента была раскрыта и проиндексирована Google, что позволило любому найти данные, ища их.
Записи клиентов, которые видел TechCrunch, включали резюме посещений, медицинские истории, а также записи о рецептах и вакцинации, среди других файлов, касающихся клиентов Vetco и их домашних животных.
В файлах также содержались имена клиентов; их домашний адрес, адрес электронной почты и номер телефона; местоположение клиники Vetco, где были выполнены услуги; медицинские оценки, тесты и диагнозы; а также стоимость товаров, имена ветеринаров, формы согласия, подписи владельцев и даты обслуживания.
Мы также нашли имена животных, виды и породы, их пол, возраст и дату рождения, их номер микрочипа (если он зарегистрирован), их медицинские показатели и записи рецептов в файлах.
TechCrunch предупредил Petco об упущении в безопасности в пятницу после обнаружения уязвимости. Компания признала, что данные были раскрыты несколько дней спустя в следующий вторник после TechCrunch, добавив несколько открытых файлов клиентов к нашей электронной почте.
Представитель Petco Вентура Ольвера заявил TechCrunch, что компания «ввела и продолжит внедрять дополнительные меры для дальнейшего укрепления безопасности наших систем», хотя компания не предоставила доказательств для иска.
Ольвера не уточнил, есть ли у компании технические средства, такие как журналы, для определения того, были ли какие-либо данные извлечены из систем компании в ходе разлива данных.
Как TechCrunch обнаружил разлив данных
TechCrunch выявила уязвимость в том, как веб-сайт Vetco генерирует копии документов PDF для своих клиентов.
Клиентский портал Vetco, расположенный по адресу:petpass.com
, позволяет клиентам входить в систему и получать ветеринарные записи и другие документы, связанные с уходом за их домашним животным. Но TechCrunch обнаружил, что страница, генерирующая PDF на веб-сайте Vetco, была общедоступной и не защищена паролем.
Таким образом, любой пользователь Интернета мог получить доступ к конфиденциальным файлам клиентов непосредственно с серверов Vetco, изменив веб-адрес для ввода уникального идентификационного номера клиента. Номера клиентов Vetco являются последовательными, что означает, что можно получить доступ к данным других клиентов, просто изменив номер клиента на одну или две цифры.
Больше в бизнесе
TechCrunch проверял с интервалом в 100 000 клиентов, чтобы определить, сколько записей было раскрыто в общей сложности. Последовательные номера клиентов предполагают, что миллионы информации клиентов Petco могли быть извлечены.
Ошибка классифицируется как небезопасная прямая ссылка на объект (или IDOR), общий пробел в методах безопасности, который позволяет беспрепятственный доступ к файлам на сервере, потому что нет надлежащих проверок, чтобы убедиться, что человек, получающий доступ к данным, разрешен.
Пока неясно, как долго эти записи о клиентах оставались открытыми, но данные о клиентах, перечисленные в Google, датированы серединой 2020 года.
Третье нарушение Petco в этом году
По подсчетам TechCrunch, это уже третья утечка данных Petco в 2025 году.
Ранее в этом году хакеры, связанные с хакерским коллективом Scattered Lapsus$ Hunters, якобы украли множество данных из базы данных о клиентах, которую Petco размещает с облачным гигантом Salesforce. Хакеры потребовали от компаний-жертв заплатить выкуп, чтобы не допустить утечки их информации.
В сентябре Petco раскрыла второе нарушение данных, связанное с проблемой безопасности, которую компания заявила, что обнаружила сама. Petco обвинил утечку данных в «настройке в одном из наших программных приложений, которая непреднамеренно позволила определенным файлам быть доступными в Интернете», но не предоставила конкретных деталей инцидента.
Это нарушение данных включало конфиденциальную информацию о клиентах, такую как номера социального страхования, водительские права и финансовую информацию, включая номера дебетовых и кредитных карт.
Ольвера отказалась сообщить, сколько людей пострадало от сентябрьского инцидента, но закон Калифорнии требует от компаний публично раскрывать информацию о нарушениях данных, когда число жертв в штате пересекает 500 человек.
TechCrunch считает, что последняя утечка данных с участием Vetco является отдельным инцидентом безопасности, учитывая, что Petco начала уведомлять своих клиентов о предыдущей утечке данных несколько месяцев назад.
