Petco закриває сайт Vetco через витік особистої інформації клієнтів
1 min read

Petco закриває сайт Vetco через витік особистої інформації клієнтів

Плахотнюк Сергій0

Компанія Petco, відома у сфері догляду за тваринами, вирішила частково призупинити роботу свого веб-сайту Vetco Clinics після виявлення серйозної проблеми з безпекою, яка відкрила доступ до особистої інформації клієнтів. Ця інформація стала доступною в Інтернеті і стала мішенню для потенційних зловмисників.

Виявивши витік даних, редакція TechCrunch звернулася до Petco, й компанія підтвердила, що розпочала розслідування цього інциденту. Проте, вона утрималася від подальших коментарів. Згідно з експертними даними, машини для генерації PDF-документів на сайті Vetco не мали належного захисту, через що будь-яка особа могла отримати доступ до конфіденційних записів без необхідності входу в систему.

Згідно з даними, які були проаналізовані TechCrunch, клієнтські картки включали в себе медичні історії, підсумки візитів, а також записи про призначення і вакцинації. Крім того, виявлено імена власників тварин, їх адреси, електронні пошти, номери телефонів і вартість наданих послуг. Файли містили й чутливу інформацію про самих тварин, включаючи їхні вікові дані, характеристики видавців, номери мікрочипів та медичні показники.

Кібератака на сайт

Проблема була виявлена, коли TechCrunch звернув увагу на відкриту сторінку генерації PDF-документів на вебсайті Vetco. За умовами розробки, користувачі мали можливість отримати ветеринарні записи та інші документи, проте веб-сторінка, що генерувала ці файли, не була захищена паролем. Разом з цим, серійні номери клієнтів спростили доступ до чужих даних.

TechCrunch провело аудит доступних записів і підрахувало, що мільйони клієнтів Petco могли бути під загрозою. Розробка була відзначена як невірна пряма ідентифікація об’єктів (IDOR), що свідчить про прогалини у безпеці. Відомо, що одна з виявлених карток була зареєстрована ще у 2020 році.

Цей випадок став вже третьою кібератакою на Petco в 2023 році. Раніше в цьому році група хакерів, пов’язана з угрупованням Scattered Lapsus$ Hunters, отримала доступ до великого масиву даних, які компанія зберігала у хмарі Salesforce. У вересні Petco вже зіткнулася з другим витоком даних через внутрішню помилку в програмному забезпеченні, що відкрила доступ до чутливої інформації, такої як номери соціального страхування і банківські реквізити.

Попри численні інциденти, представник Petco запевнив, що компанія вжила додаткових заходів для поліпшення безпеки своїх систем. Проте, поки що неясно, чи є технічні можливості для визначення, чи була витягнута інформація під час останнього витоку.

Related Posts