Η εταιρεία ευεξίας κατοικίδιων ζώων Petco έχει θέσει εκτός σύνδεσης ένα μέρος του ιστότοπού της Vetco Clinics μετά από ένα σφάλμα ασφαλείας που εξέθεσε ομάδες προσωπικών πληροφοριών πελατών στον ανοιχτό ιστό.
Αφού η TechCrunch ειδοποίησε την εταιρεία για τα εκτεθειμένα δεδομένα που σχετίζονται με τους πελάτες της Vetco και τα κατοικίδιά τους, η Petco επιβεβαίωσε σε δήλωση ότι ερευνούσε τη διαρροή δεδομένων στην εταιρεία κτηνιατρικών υπηρεσιών της και αρνήθηκε να σχολιάσει περαιτέρω.
Το σφάλμα ασφαλείας επέτρεψε σε οποιονδήποτε στο Διαδίκτυο να κατεβάσει αρχεία πελατών από τον ιστότοπο της Vetco χωρίς να χρειάζεται τα στοιχεία σύνδεσης ενός χρήστη. Τουλάχιστον ένα αρχείο πελάτη εκτέθηκε και ευρετηριάστηκε από την Google, επιτρέποντας σε οποιονδήποτε να βρει τα δεδομένα αναζητώντας τα.
Τα αρχεία πελατών, τα οποία προβλήθηκαν από το TechCrunch, περιελάμβαναν περιλήψεις επισκέψεων, ιατρικά ιστορικά και αρχεία συνταγών και εμβολιασμών, μεταξύ άλλων αρχείων που σχετίζονται με πελάτες της Vetco και τα κατοικίδια ζώα τους.
Τα αρχεία περιείχαν επίσης ονόματα πελατών. τη διεύθυνση κατοικίας, τη διεύθυνση email και τον αριθμό τηλεφώνου τους· την τοποθεσία της κλινικής Vetco όπου πραγματοποιήθηκαν οι υπηρεσίες· ιατρικές αξιολογήσεις, εξετάσεις και διαγνώσεις· και το κόστος των αγαθών, ονόματα κτηνιάτρων, έντυπα συγκατάθεσης, υπογραφές ιδιοκτήτη και ημερομηνίες παροχής υπηρεσιών.
Βρήκαμε επίσης ονόματα ζώων, είδη και φυλή, το φύλο, την ηλικία και την ημερομηνία γέννησής τους, τον αριθμό μικροτσίπ τους (εάν είναι καταχωρημένο), τα ιατρικά τους στοιχεία και τα αρχεία συνταγών στα αρχεία.
Η TechCrunch ειδοποίησε την Petco για το σφάλμα ασφαλείας την Παρασκευή, αφού ανακάλυψε την ευπάθεια. Η εταιρεία αναγνώρισε την έκθεση δεδομένων ημέρες αργότερα την επόμενη Τρίτη μετά την παρακολούθηση του TechCrunch επισυνάπτοντας πολλά εκτεθειμένα αρχεία πελατών στο email μας.
Ο εκπρόσωπος της Petco, Ventura Olvera, δήλωσε στο TechCrunch αργά την Τρίτη ότι η εταιρεία «έχει εφαρμόσει και θα συνεχίσει να εφαρμόζει πρόσθετα μέτρα για την περαιτέρω ενίσχυση της ασφάλειας των συστημάτων μας», αν και η εταιρεία δεν παρείχε στοιχεία για τον ισχυρισμό.
Η Olvera δεν θα πει εάν η εταιρεία διαθέτει τα τεχνικά μέσα, όπως αρχεία καταγραφής, για να προσδιορίσει εάν εξήχθησαν δεδομένα από τα συστήματα της εταιρείας κατά τη διάρκεια της διαρροής δεδομένων.
Πώς το TechCrunch βρήκε τη διαρροή δεδομένων
Το TechCrunch εντόπισε μια ευπάθεια στον τρόπο με τον οποίο ο ιστότοπος της Vetco δημιουργεί αντίγραφα εγγράφων PDF για τους πελάτες της.
Η πύλη πελατών της Vetco, που βρίσκεται στη διεύθυνση petpass.comεπιτρέπει στους πελάτες να συνδεθούν και να αποκτήσουν κτηνιατρικά αρχεία και άλλα έγγραφα που σχετίζονται με τη φροντίδα του κατοικίδιου ζώου τους. Αλλά το TechCrunch διαπίστωσε ότι η σελίδα δημιουργίας PDF στον ιστότοπο της Vetco ήταν δημόσια και δεν προστατεύτηκε με κωδικό πρόσβασης.
Ως εκ τούτου, ήταν δυνατό για οποιονδήποτε στο Διαδίκτυο να έχει πρόσβαση σε ευαίσθητα αρχεία πελατών απευθείας από τους διακομιστές της Vetco τροποποιώντας τη διεύθυνση ιστού για την εισαγωγή του μοναδικού αριθμού αναγνώρισης ενός πελάτη. Οι αριθμοί πελατών της Vetco είναι διαδοχικοί, πράγμα που σημαίνει ότι κάποιος θα μπορούσε να έχει πρόσβαση στα δεδομένα άλλων πελατών απλώς αλλάζοντας έναν αριθμό πελάτη κατά ένα ή δύο ψηφία.
Το TechCrunch έλεγξε σε διαστήματα 100.000 πελατών για να προσδιορίσει πόσες εγγραφές μπορεί να έχουν εκτεθεί συνολικά. Οι διαδοχικοί αριθμοί πελατών υποδηλώνουν ότι θα μπορούσαν να είχαν ανακτηθεί εκατομμύρια πληροφορίες πελατών της Petco.
Το σφάλμα ταξινομείται ως ανασφαλής άμεση αναφορά αντικειμένου (ή IDOR), μια συνηθισμένη έλλειψη στις πρακτικές ασφαλείας που επιτρέπει την απεριόριστη πρόσβαση σε αρχεία σε έναν διακομιστή επειδή δεν υπάρχουν κατάλληλοι έλεγχοι για να βεβαιωθείτε ότι επιτρέπεται στο άτομο που έχει πρόσβαση στα δεδομένα.
Δεν είναι σαφές πόσο καιρό έχουν μείνει εκτεθειμένα αυτά τα αρχεία πελατών, αλλά το αρχείο πελατών που αναφέρεται στο Google χρονολογείται στα μέσα του 2020.
Τρίτη παραβίαση Petco φέτος
Σύμφωνα με τον υπολογισμό του TechCrunch, αυτή είναι η τρίτη παραβίαση δεδομένων της Petco το 2025.
Νωρίτερα φέτος, χάκερ που σχετίζονται με τη συλλογική hacking Scattered Lapsus$ Hunters φέρεται να έκλεψαν δέσμες δεδομένων από μια βάση δεδομένων με πληροφορίες πελατών που φιλοξενεί η Petco με τον γίγαντα του cloud Salesforce. Οι χάκερ ζήτησαν από τις εταιρείες-θύματα να πληρώσουν λύτρα για να μην διαρρεύσουν τα στοιχεία τους.
Τον Σεπτέμβριο, η Petco αποκάλυψε μια δεύτερη παραβίαση δεδομένων που αφορούσε ένα ζήτημα ασφάλειας που η εταιρεία είπε ότι ανακάλυψε μόνη της. Η Petco κατηγόρησε τη διαρροή δεδομένων σε «μια ρύθμιση σε μια από τις εφαρμογές λογισμικού μας που κατά λάθος επέτρεψε σε ορισμένα αρχεία να είναι προσβάσιμα στο διαδίκτυο», αλλά δεν παρείχε συγκεκριμένες λεπτομέρειες για το περιστατικό.
Αυτή η παραβίαση δεδομένων περιελάμβανε ευαίσθητες πληροφορίες πελατών, όπως αριθμούς κοινωνικής ασφάλισης, άδειες οδήγησης και οικονομικές πληροφορίες, συμπεριλαμβανομένων των αριθμών χρεωστικών και πιστωτικών καρτών.
Ο Olvera αρνήθηκε να πει πόσα άτομα επηρεάζονται από το περιστατικό του Σεπτεμβρίου, αλλά ο νόμος της Καλιφόρνια απαιτεί από τις εταιρείες να αποκαλύπτουν δημόσια παραβιάσεις δεδομένων όταν ο αριθμός των θυμάτων στην πολιτεία ξεπερνά τα 500 άτομα.
Η TechCrunch πιστεύει ότι αυτή η τελευταία διαρροή δεδομένων που αφορά την Vetco είναι ένα ξεχωριστό περιστατικό ασφαλείας, δεδομένου ότι η Petco άρχισε να ειδοποιεί τους πελάτες της για την προηγούμενη διαρροή δεδομένων πριν από αρκετούς μήνες.
Via: techcrunch.com
