Petco închide site-ul Vetco după ce a dezvăluit informațiile personale ale clienților

Alin
ModeratorAlin
2 Min Citire
Petco închide site-ul Vetco după ce a dezvăluit informațiile personale ale clienților

Închiderea site-ului Vetco din cauza expunerii datelor personale

Compania de wellness pentru animale Petco a decis să dezactiveze o parte a site-ului Vetco Clinics după ce o breșă de securitate a expus informații personale ale clienților pe internet. Această problemă a fost semnalată de TechCrunch, care a alertat Petco cu privire la datele expuse, compania confirmând ulterior că investighează incidentul.

Breșa de securitate și informațiile expuse

Breșa de securitate a permis oricărei persoane de pe internet să descarce înregistrările clienților de pe site-ul Vetco fără a avea nevoie de informațiile de autentificare ale utilizatorilor. Cel puțin un dosar de client a fost expus și indexat de Google, ceea ce a facilitat accesul la date prin căutări online.

Informațiile personale expuse includeau rezumatele vizitelor, istoricul medical, precum și înregistrările de prescripție și vaccinare ale clienților și animalelor lor. Dosarele conțineau, de asemenea, numele clienților, adresele lor de acasă, adresele de email, numerele de telefon, locația clinicii Vetco, evaluările medicale, teste, diagnostice, costurile bunurilor, numele medicilor veterinari, formularele de consimțământ, semnăturile proprietarilor și datele serviciilor.

Printre informațiile despre animale se numărau numele, specia, rasa, sexul, vârsta, data nașterii, numărul de microcip (dacă era înregistrat), semnele vitale medicale și înregistrările de prescripție.

Identificarea vulnerabilității

TechCrunch a descoperit o vulnerabilitate în modul în care site-ul Vetco genera copii ale documentelor PDF pentru clienți. Portalul pentru clienți, petpass.com, permite clienților să se conecteze și să obțină înregistrările veterinare, dar pagina de generare PDF era publică și neprotejată cu parolă. Astfel, oricine putea accesa fișierele sensibile direct de pe serverele Vetco, modificând adresa web pentru a introduce un număr de identificare unic al clientului. Numerele de clienți Vetco sunt secvențiale, ceea ce înseamnă că puteau fi accesate datele altor clienți prin modificarea numărului cu una sau două cifre.

Consecințele breșei de date

Numărul total de înregistrări expuse ar putea fi semnificativ, având în vedere că TechCrunch a verificat intervale de 100.000 de clienți. Problema este clasificată ca o referință directă nesigură a obiectelor (IDOR), o lacună comună în practicile de securitate care permite accesul necontrolat la fișiere pe un server.

Acesta este al treilea incident de breșă de date înregistrat de Petco în 2025. Anterior, hackerii asociați cu grupul Scattered Lapsus$ Hunters au furat date dintr-o bază de date de informații clienți găzduită de Petco la Salesforce. În septembrie, Petco a recunoscut o altă breșă de date, cauzată de o setare greșită într-o aplicație software, care a permis accesul online la anumite fișiere sensibile, inclusiv numere de securitate socială și detalii financiare.

Concluzie

Incidentul recent subliniază vulnerabilitățile semnificative în securitatea datelor companiei Petco și riscurile pe care acestea le prezintă pentru clienți, având potențialul de a afecta milioane de utilizatori. Aceste breșe repetate ridică întrebări despre capacitatea Petco de a proteja informațiile personale ale clienților săi.

Distribuie acest articol