После того как TechCrunch уведомил компанию о раскрытых данных клиентов Vetco и их питомцев, Petco подтвердила в своем заявлении, что расследует утечку данных в своей ветеринарной службе, и отказалась от дальнейших комментариев.
Сбой в системе безопасности позволил любому пользователю интернета загружать записи клиентов с веб-сайта Vetco без необходимости ввода логина и пароля. По крайней мере, одна запись клиента была раскрыта и проиндексирована Google, что позволило любому найти данные, просто выполнив поиск.
Записи клиентов, с которыми ознакомился TechCrunch, включали сводки визитов, медицинские карты, а также данные о рецептах и вакцинации, среди прочих файлов, относящихся к клиентам Vetco и их питомцам.
Файлы также содержали имена клиентов, их домашние адреса, адреса электронной почты и номера телефонов; местоположение клиники Vetco, где были оказаны услуги; медицинские заключения, анализы и диагнозы; а также стоимость товаров, имена ветеринаров, формы согласия, подписи владельцев и даты оказания услуг.
Мы также обнаружили в файлах имена животных, их вид и породу, пол, возраст и дату рождения, номер микрочипа (если зарегистрирован), медицинские показатели и записи о рецептах.
TechCrunch уведомил Petco о сбое в системе безопасности в пятницу после обнаружения уязвимости. Компания признала утечку данных через несколько дней, во вторник, после того как TechCrunch отправил им несколько раскрытых файлов клиентов по электронной почте.
Представитель Petco Вентура Олвера сообщил TechCrunch во вторник вечером, что компания «внедряет и продолжит внедрять дополнительные меры для дальнейшего укрепления безопасности наших систем», хотя компания не предоставила доказательств этого утверждения.
Олвера не смог ответить, располагает ли компания техническими средствами, такими как журналы, для определения того, были ли какие-либо данные извлечены из систем компании в ходе утечки данных.
Как TechCrunch обнаружил утечку данных
TechCrunch выявил уязвимость в том, как веб-сайт Vetco генерирует копии PDF-документов для своих клиентов.
Клиентский портал Vetco, расположенный по адресу petpass.com, позволяет клиентам входить в систему и получать ветеринарные записи и другие документы, касающиеся ухода за их питомцем. Однако TechCrunch обнаружил, что страница генерации PDF на веб-сайте Vetco была общедоступной и не защищена паролем.
Таким образом, любой пользователь интернета мог получить доступ к конфиденциальным файлам клиентов напрямую с серверов Vetco, изменив веб-адрес, чтобы ввести уникальный идентификационный номер клиента. Номера клиентов Vetco последовательны, что означает, что можно получить доступ к данным других клиентов, просто изменив номер клиента на одну или две цифры.
TechCrunch проверил интервалы в 100 000 клиентов, чтобы определить, сколько записей могло быть раскрыто в общей сложности. Последовательные номера клиентов предполагают, что информация миллионов клиентов Petco могла быть извлечена.
Эта ошибка классифицируется как небезопасная прямая ссылка на объект (или IDOR) — распространенный сбой в практике безопасности, который позволяет беспрепятственно получать доступ к файлам на сервере, поскольку отсутствуют надлежащие проверки, гарантирующие, что лицо, получающее доступ к данным, имеет на это разрешение.
Неясно, как долго эти записи клиентов оставались раскрытыми, но запись клиента, найденная в Google, датировалась серединой 2020 года.
Третья утечка данных Petco в этом году
По подсчетам TechCrunch, это третья утечка данных Petco в 2025 году.
Ранее в этом году хакеры, связанные с группой Scattered Lapsus$ Hunters, предположительно украли огромные объемы данных из базы данных клиентской информации, которую Petco размещает у облачного гиганта Salesforce. Хакеры требовали выкуп у компаний-жертв, чтобы не раскрывать их информацию.
В сентябре Petco сообщила о второй утечке данных, связанной с проблемой безопасности, которую компания обнаружила самостоятельно. Petco обвинила утечку данных в «настройке одного из наших программных приложений, которая непреднамеренно позволила получить доступ к определенным файлам в Интернете», но не предоставила конкретных деталей инцидента.
Эта утечка данных включала конфиденциальную информацию клиентов, такую как номера социального страхования, водительские удостоверения и финансовую информацию, включая номера дебетовых и кредитных карт.
Олвера отказался сообщить, сколько человек пострадало от сентябрьского инцидента, но калифорнийский закон требует от компаний публично раскрывать утечки данных, когда число жертв в штате превышает 500 человек.
TechCrunch полагает, что эта последняя утечка данных, связанная с Vetco, является отдельным инцидентом безопасности, учитывая, что Petco начала уведомлять своих клиентов о предыдущей утечке данных несколько месяцев назад.
Автор – Zack Whittaker
