La empresa de bienestar para mascotas Petco ha desconectado partes de su sitio web Vetco Clinics después de que una falla de seguridad expusiera grandes cantidades de información personal de los clientes a la web abierta.
Después de que TechCrunch alertara a la compañía que los datos sobre los clientes de Vetco y sus mascotas habían sido comprometidos, Petco confirmó en un comunicado que estaba investigando la violación de datos en su compañía de servicios veterinarios y declinó hacer más comentarios.
Esta falla de seguridad permitió que cualquier persona en Internet descargara registros de clientes del sitio web de Vetco sin requerir la información de inicio de sesión del usuario. Google ha publicado e indexado al menos un registro de cliente, lo que permite que cualquiera pueda buscar y encontrar los datos.
Los registros de clientes revisados por TechCrunch incluyeron resúmenes de visitas, historiales médicos, registros de recetas y vacunas, entre otros archivos relacionados con los clientes de Vetco y sus mascotas.
El archivo también contenía nombres de clientes. Domicilio, dirección de correo electrónico y número de teléfono. Ubicación de la clínica Vetco donde se realizó el servicio. Evaluación médica, pruebas y diagnóstico. Precio del producto, nombre del veterinario, formulario de consentimiento, firma del propietario, fecha del servicio.
En el expediente también se encontraron registros del nombre del animal, especie y raza, sexo, edad y fecha de nacimiento, número de microchip (si está registrado), signos vitales médicos y recetas médicas.
TechCrunch alertó a Petco sobre la falla de seguridad el viernes después de descubrir la vulnerabilidad. La compañía reconoció la violación de datos unos días después, el martes siguiente, después de que TechCrunch hiciera un seguimiento con algunos de los archivos de clientes filtrados adjuntos a nuestros correos electrónicos.
El portavoz de Petco, Ventura Olvera, dijo a TechCrunch el martes por la noche que la compañía ha «implementado y continuará implementando medidas adicionales para fortalecer aún más la seguridad de nuestros sistemas», pero la compañía no proporcionó evidencia de esa afirmación.
Olvera se negó a decir si la empresa tiene registros u otros medios técnicos para determinar si se extrajo algún dato de sus sistemas durante la violación de datos.
Cómo TechCrunch descubrió la violación de datos
TechCrunch identificó una vulnerabilidad en la forma en que el sitio web de Vetco genera copias de documentos PDF para los clientes.
El portal para clientes de Vetco en petpass.com permite a los clientes iniciar sesión y recuperar registros veterinarios y otra documentación relacionada con el cuidado de su mascota. Sin embargo, TechCrunch descubrió que la página de generación de PDF en el sitio web de Vetco es pública y no está protegida con contraseña.
Esto permitió que cualquier persona en Internet accediera a los archivos confidenciales de un cliente directamente desde los servidores de Vetco cambiando la dirección web e ingresando el número de identificación único del cliente. Los números de clientes de Vetco son secuenciales, por lo que puede acceder a los datos de otros clientes simplemente cambiando uno o dos dígitos en su número de cliente.
TechCrunch investigó a cada uno de los 100.000 clientes para determinar cuántos registros pueden haber sido comprometidos en total. Los números secuenciales de clientes sugieren que es posible que se haya obtenido información de millones de clientes de Petco.
Este error se clasifica como Referencia directa a objetos inseguros (IDOR). Esta es una falla común en las prácticas de seguridad que permite el acceso sin restricciones a los archivos en un servidor porque no existen controles adecuados para confirmar si el acceso a los datos está autorizado.
No está claro cuánto tiempo permanecieron públicos estos registros de clientes, pero los registros de clientes que figuran en Google datan de mediados de 2020.
Tercer incumplimiento de Petco este año
Esta es la tercera filtración de datos de Petco en 2025, según contó TechCrunch.
A principios de este año, los piratas informáticos asociados con el grupo de piratería Scattered Lapsus$ Hunters supuestamente robaron grandes cantidades de datos de una base de datos de información de clientes alojada por Petco junto con el gigante de la nube Salesforce. Los piratas informáticos exigieron que las empresas víctimas pagaran un rescate para evitar que se filtrara la información.
En septiembre, Petco reveló una segunda filtración de datos relacionada con problemas de seguridad, que la compañía dijo haber descubierto de forma independiente. Petco culpó de la violación de datos a «configuraciones en nuestras aplicaciones de software que sin darse cuenta permitieron el acceso a ciertos archivos en línea», pero no proporcionó detalles específicos del incidente.
La filtración de datos incluyó información confidencial del cliente, como números de Seguro Social, licencias de conducir e información financiera, como números de tarjetas de débito y crédito.
Olvera se negó a decir cuántas personas se vieron afectadas por el incidente de septiembre, pero la ley de California exige que las empresas revelen públicamente las violaciones de datos si el número de víctimas en el estado supera las 500.
TechCrunch cree que esta violación de datos que involucra a Vetco es otro incidente de seguridad, considerando que Petco comenzó a notificar a los clientes sobre una violación de datos anterior hace varios meses.
Source link
