A empresa de bem-estar para animais de estimação Petco retirou partes de seu site da Vetco Clinics off-line depois que uma falha de segurança expôs grandes quantidades de informações pessoais de clientes na web aberta.
Depois que o TechCrunch alertou a empresa de que os dados sobre os clientes da Vetco e seus animais de estimação haviam sido comprometidos, a Petco confirmou em comunicado que estava investigando a violação de dados em sua empresa de serviços veterinários e recusou mais comentários.
Essa falha de segurança permitiu que qualquer pessoa na Internet baixasse registros de clientes do site da Vetco sem exigir as informações de login do usuário. Pelo menos um registro de cliente foi publicado e indexado pelo Google, permitindo que qualquer pessoa pesquise e encontre os dados.
Os registros de clientes revisados pelo TechCrunch incluíam resumos de visitas, históricos médicos, registros de prescrição e vacinação, entre outros arquivos relacionados aos clientes da Vetco e seus animais de estimação.
O arquivo também continha nomes de clientes. Endereço residencial, endereço de e-mail e número de telefone. Local da clínica Vetco onde foi realizado o atendimento. Avaliação médica, testes e diagnóstico. Preço do produto, nome do veterinário, termo de consentimento, assinatura do proprietário, data do atendimento.
No arquivo também foram encontrados registros de nome do animal, espécie e raça, sexo, idade e data de nascimento, número do microchip (se registrado), sinais médicos e receitas médicas.
O TechCrunch alertou Petco sobre a falha de segurança na sexta-feira após descobrir a vulnerabilidade. A empresa reconheceu a violação de dados alguns dias depois, na terça-feira seguinte, depois que o TechCrunch deu seguimento a alguns dos arquivos vazados de clientes anexados aos nossos e-mails.
O porta-voz da Petco, Ventura Olvera, disse ao TechCrunch na terça-feira que a empresa “implementou e continuará a implementar medidas adicionais para fortalecer ainda mais a segurança de nossos sistemas”, mas a empresa não forneceu evidências para essa afirmação.
Olvera se recusou a dizer se a empresa possui registros ou outros meios técnicos para determinar se algum dado foi extraído de seus sistemas durante a violação de dados.
Como o TechCrunch descobriu a violação de dados
O TechCrunch identificou uma vulnerabilidade na forma como o site da Vetco gera cópias de documentos PDF para os clientes.
O portal do cliente da Vetco está localizado em: petpass.comos clientes podem fazer login e recuperar registros veterinários e outros documentos relacionados aos cuidados de seus animais de estimação. No entanto, o TechCrunch descobriu que a página de geração de PDF no site da Vetco é pública e não protegida por senha.
Isto permitiu que qualquer pessoa na Internet acessasse os arquivos confidenciais de um cliente diretamente dos servidores da Vetco, alterando o endereço da web e inserindo o número de identificação exclusivo do cliente. Os números de clientes Vetco são sequenciais, então você pode acessar os dados de outros clientes simplesmente alterando um ou dois dígitos em seu número de cliente.
O TechCrunch investigou cada um dos 100.000 clientes para determinar quantos registros podem ter sido comprometidos no total. Os números sequenciais de clientes sugerem que podem ter sido obtidas informações de milhões de clientes da Petco.
Este bug é categorizado como: referência direta insegura a objeto (ou IDOR), é um erro comum nas práticas de segurança que permite acesso irrestrito a arquivos em um servidor porque não há verificações adequadas para garantir que o usuário esteja autorizado a acessar os dados.
Não está claro por quanto tempo esses registros de clientes permaneceram públicos, mas os registros de clientes listados no Google datam de meados de 2020.
Terceira violação da Petco este ano
Esta é a terceira violação de dados da Petco em 2025, conforme contabilizado pelo TechCrunch.
No início deste ano, hackers associados ao grupo de hackers Scattered Lapsus$ Hunters Suspeito de roubar grandes quantidades de dados A partir de um banco de dados de informações de clientes hospedado em conjunto pela Petco com a gigante da nuvem Salesforce. Os hackers exigiram que as empresas vítimas pagassem um resgate para evitar o vazamento de informações.
Petco em setembro Segunda violação de dados revelada Isso envolve um problema de segurança, que a empresa disse ter descoberto de forma independente. Petco atribuiu a violação de dados a “configurações em nossos aplicativos de software que permitiram inadvertidamente o acesso a determinados arquivos online”, mas não forneceu detalhes específicos do incidente.
que A violação de dados incluiu informações confidenciais do clientenúmeros de segurança social, carteiras de motorista e informações financeiras, como números de cartão de débito e crédito.
Olvera recusou-se a dizer quantas pessoas foram afetadas pelo incidente de setembro, mas a lei da Califórnia exige que as empresas divulguem publicamente as violações de dados se o número de vítimas no estado exceder 500.
O TechCrunch acredita que esta violação de dados envolvendo a Vetco é outro incidente de segurança, considerando que a Petco começou a notificar os clientes sobre uma violação de dados anterior há vários meses.
