Шокуюче розкриття: Petco закриває сайт Vetco через витік особистої інформації клієнтів

Компанія Petco, відома у сфері догляду за тваринами, вирішила частково призупинити роботу свого веб-сайту Vetco Clinics після виявлення серйозної проблеми з безпекою, яка відкрила доступ до особистої інформації клієнтів. Ця інформація стала доступною в Інтернеті і стала мішенню для потенційних зловмисників.

Виявивши витік даних, редакція TechCrunch звернулася до Petco, й компанія підтвердила, що розпочала розслідування цього інциденту. Проте, вона утрималася від подальших коментарів. Згідно з експертними даними, машини для генерації PDF-документів на сайті Vetco не мали належного захисту, через що будь-яка особа могла отримати доступ до конфіденційних записів без необхідності входу в систему.

Згідно з даними, які були проаналізовані TechCrunch, клієнтські картки включали в себе медичні історії, підсумки візитів, а також записи про призначення і вакцинації. Крім того, виявлено імена власників тварин, їх адреси, електронні пошти, номери телефонів і вартість наданих послуг. Файли містили й чутливу інформацію про самих тварин, включаючи їхні вікові дані, характеристики видавців, номери мікрочипів та медичні показники.

Проблема була виявлена, коли TechCrunch звернув увагу на відкриту сторінку генерації PDF-документів на вебсайті Vetco. За умовами розробки, користувачі мали можливість отримати ветеринарні записи та інші документи, проте веб-сторінка, що генерувала ці файли, не була захищена паролем. Разом з цим, серійні номери клієнтів спростили доступ до чужих даних.

TechCrunch провело аудит доступних записів і підрахувало, що мільйони клієнтів Petco могли бути під загрозою. Розробка була відзначена як невірна пряма ідентифікація об’єктів (IDOR), що свідчить про прогалини у безпеці. Відомо, що одна з виявлених карток була зареєстрована ще у 2020 році.

Цей випадок став вже третьою кібератакою на Petco в 2023 році. Раніше в цьому році група хакерів, пов’язана з угрупованням Scattered Lapsus$ Hunters, отримала доступ до великого масиву даних, які компанія зберігала у хмарі Salesforce. У вересні Petco вже зіткнулася з другим витоком даних через внутрішню помилку в програмному забезпеченні, що відкрила доступ до чутливої інформації, такої як номери соціального страхування і банківські реквізити.

Попри численні інциденти, представник Petco запевнив, що компанія вжила додаткових заходів для поліпшення безпеки своїх систем. Проте, поки що неясно, чи є технічні можливості для визначення, чи була витягнута інформація під час останнього витоку.