Утечка данных Petco: персональная информация клиентов Vetco оказалась под угрозой

Ветеринарная клиника Vetco, входящая в состав компании Petco, временно приостановила работу части своего веб-сайта после обнаружения уязвимости в системе безопасности. Инцидент привел к несанкционированному доступу к обширным данным клиентов и их питомцев.

Компания Petco подтвердила факт утечки данных и начала внутреннее расследование. Уязвимость позволяла любому пользователю интернета получить доступ к записям клиентов Vetco без необходимости ввода логина и пароля. По крайней мере, одна запись клиента была проиндексирована поисковой системой Google, что делало ее легкодоступной для поиска.

Среди раскрытой информации содержатся сводки о визитах, медицинские карты, сведения о назначенных лекарствах и вакцинации. Также были доступны личные данные владельцев, включая имена, адреса проживания, адреса электронной почты и номера телефонов. Кроме того, были раскрыты наименования ветеринарных клиник Vetco, где проводилось лечение, медицинские заключения, результаты анализов, диагнозы, информация о ветеринарах, формы согласия, подписи владельцев и даты оказания услуг.

В файлах также обнаруживались данные о питомцах: их имена, виды, породы, пол, возраст, даты рождения, номера микрочипов (при наличии), медицинские показатели и записи о назначениях.

Компания TechCrunch уведомила Petco об уязвимости в пятницу, а после повторного обращения и предоставления доказательств, Petco признала факт утечки во вторник.

Представитель Petco заявил, что компания принимает дополнительные меры для усиления безопасности, однако не предоставила доказательств их эффективности. Также остается неясным, располагает ли компания техническими средствами для определения того, были ли данные фактически извлечены из системы в период утечки.

Уязвимость была обнаружена в системе генерации PDF-документов на сайте Vetco. Клиентский портал petpass.com, предназначенный для получения ветеринарных записей, имел незащищенную страницу генерации документов. Изменяя порядковый номер клиента в веб-адресе, злоумышленники могли получить доступ к файлам других пользователей. Анализ показал, что последовательная нумерация клиентских идентификаторов потенциально могла привести к раскрытию данных миллионов клиентов.

Данная уязвимость классифицируется как insecure direct object reference (IDOR), что является распространенной ошибкой в сфере безопасности, допускающей несанкционированный доступ к файлам из-за отсутствия должных проверок прав доступа.

Точный период, в течение которого данные оставались доступны, неизвестен. Однако одна из проиндексированных Google записей датируется серединой 2020 года.

Это уже третья утечка данных, связанная с Petco в текущем году. Ранее сообщалось о краже данных из базы клиентов, размещенной на платформе Salesforce, а также об инциденте, связанном с неправильной настройкой одного из программных приложений, что привело к непреднамеренному раскрытию файлов в интернете.