Шляпный трюк Petco с данными об опасности разоблачает миллионы записей домашних животных
Медицинские записи вашего питомца не должны быть проще, чем пароль Wi-Fi в местном кафе. Тем не менее Petco удалось сделать миллионы ветеринарных файлов Vetco такими же доступными, как и учебник по танцу TikTok.
Розничный торговец домашними животными отключил часть своего веб-сайта Vetco Clinics после того, как TechCrunch обнаружил, что записи клиентов находятся в цифровом эквиваленте незапертого шкафа для хранения на оживленном углу улицы. Это знаменует собой ** третью серьезную сбой безопасности Petco** в 2025 году, превращая то, что должно быть отдельными инцидентами, в тревожную картину, которая вызывает серьезные вопросы о приверженности компании защите конфиденциальных данных клиентов.
Когда последовательные числа становятся кошмарами
Уязвимость в сети учебников позволяет просматривать ветеринарные записи по легко угадываемым URL-адресам.
Портал Vetco на petpass.com сгенерировал PDF-копии записей ветеринаров через то, что эксперты по безопасности называют уязвимостью IDOR — небезопасной прямой ссылкой на объект.
Vetco использовала ** последовательные идентификаторы клиентов ** в своих URL-адресах, что означает, что любой может получить доступ к файлам других клиентов, просто добавив или вычитая номера из веб-адреса.
Цифровая бумажная дорожка вашего питомца стала публичной
Google проиндексировал по крайней мере одну клиентскую запись, доказав, что эти документы были доступны для открытого поиска в Интернете.
Обнаруженные данные выглядят как контрольный список кошмаров конфиденциальности:
Имена, адреса, номера телефонов, адреса электронной почты
История болезни домашних животных, записи о вакцинации, реквизиты рецепта
Названия ветеринаров, места расположения клиник
Формы согласия с подписями
Чип микрочипов Pet
Одна запись, датируемая ** серединой 2020**, появилась в результатах поиска Google, предполагая, что эта уязвимость, возможно, сохранялась в течение многих лет до обнаружения. Тот факт, что сканеры Google нашли и проиндексировали эти файлы, демонстрирует, насколько общедоступной стала эта конфиденциальная информация.
Третья забастовка за двенадцать месяцев
*Ранее 2025 года нарушения выявили номера социального страхования и финансовые данные через аналогичные сбои конфигурации.
В сентябре в результате взлома было обнаружено «неправильное программное приложение», которое разоблачало номера социального страхования клиентов, номера водительских прав, данные банковского счета и информацию о кредитных картах в нескольких штатах. Ранее хакерская группа «Scattered Lapsus$ Hunters»** якобы украла данные из базы данных Petco, размещенной в Salesforce.
Каждый инцидент следует одному сценарию: ошибки конфигурации, задержка обнаружения и корпоративные ответы, тяжелые по дополнительным мерам безопасности, но легкие по специфике.
Для потребителей, все чаще обращающихся с уходом за домашними животными, как с человеческим здоровьем, эти повторяющиеся неудачи подрывают доверие к отрасли, которая стремится оцифровать все, от записей о вакцинации до управления рецептами.
От самых крутых автомобилей до гаджетов, которые должны быть у вас, ежедневная рассылка GadgetReview держит вас в курсе.Подпишитесь — это весело, быстро и бесплатно.
