La empresa de bienestar para mascotas Petco ha desconectado parte de su sitio web Vetco Clinics después de que una violación de seguridad dejó expuesta una gran cantidad de información personal de los clientes en la Internet abierta.
Después de que TechCrunch alertara a la compañía sobre los datos expuestos de los clientes de Vetco y sus mascotas, Petco confirmó en un comunicado que estaba investigando la violación de datos en su compañía de servicios veterinarios y declinó hacer más comentarios.
La vulnerabilidad permitió que cualquier persona en Internet descargara datos de clientes del sitio web de Vetco sin requerir las credenciales de inicio de sesión del usuario. Google ha expuesto e indexado al menos un registro de cliente para que cualquiera pueda encontrar los datos mediante búsquedas.
Los registros de clientes vistos por TechCrunch incluían resúmenes de visitas, historiales médicos, registros de recetas y vacunas, y otros archivos relacionados con los clientes de Vetco y sus mascotas.
Los archivos también contenían nombres de clientes; su domicilio, dirección de correo electrónico y número de teléfono; la ubicación de la clínica Vetco donde se brindaron los servicios; Evaluaciones, pruebas y diagnósticos médicos; y el costo de los bienes, nombres de los veterinarios, formularios de consentimiento, firmas del propietario y fecha del servicio.
También encontramos en los expedientes nombres, especies y razas de animales, su sexo, edad y fecha de nacimiento, su número de microchip (si está registrado), sus signos vitales médicos y registros de prescripciones.
TechCrunch alertó a Petco sobre la vulnerabilidad el viernes después de descubrirla. La compañía confirmó la divulgación de datos días después, el martes siguiente, después de que TechCrunch adjuntara varios archivos de clientes expuestos a nuestro correo electrónico.
El portavoz de Petco, Ventura Olvera, dijo a TechCrunch el martes por la noche que la compañía ha “implementado y continuará implementando medidas adicionales para fortalecer aún más la seguridad de nuestros sistemas”, aunque la compañía no proporcionó evidencia que respalde esa afirmación.
Olvera no dijo si la empresa tiene los medios técnicos, como registros, para determinar si se extrajeron datos de los sistemas de la empresa durante las violaciones de datos.
Cómo TechCrunch descubrió las filtraciones de datos
TechCrunch ha identificado una vulnerabilidad en la forma en que el sitio web de Vetco genera copias de documentos PDF para sus clientes.
El portal del cliente de Vetco se puede encontrar en petpass.compermite a los clientes iniciar sesión y recibir registros veterinarios y otros documentos relacionados con el cuidado de su mascota. Sin embargo, TechCrunch descubrió que la página de generación de PDF en el sitio web de Vetco era pública y no estaba protegida con contraseña.
Esto hizo posible que cualquier persona en Internet accediera a archivos confidenciales de clientes directamente desde los servidores de Vetco cambiando la dirección web para incluir el número de identificación único del cliente. Los números de clientes de Vetco son secuenciales, lo que significa que se puede acceder a los datos de otros clientes simplemente cambiando el número de un cliente en uno o dos dígitos.
TechCrunch verificó cada 100.000 clientes para ver cuántos registros totales podrían haber estado expuestos. Los números de clientes actuales indican que se accedió a millones de información de clientes de Petco.
La falla se clasifica como una referencia de objeto directo inseguro (o IDOR), una falla común en las prácticas de seguridad que permite el acceso sin restricciones a archivos en un servidor porque no existen controles adecuados para garantizar que la persona que accede a los datos esté autorizada para hacerlo.
No está claro cuánto tiempo han estado expuestos estos registros de clientes, pero el registro de clientes que figura en Google se remonta a mediados de 2020.
Tercera infracción de Petco este año
Según TechCrunch, esta es la tercera violación de datos de Petco en 2025.
A principios de este año, se dijo que piratas informáticos vinculados al colectivo de piratería Scattered Lapsus$ Hunters habían robado grandes cantidades de datos de una base de datos de información de clientes que Petco alojaba en el gigante de la nube Salesforce. Los piratas informáticos exigieron que las empresas víctimas pagaran un rescate para evitar que se filtrara su información.
En septiembre, Petco informó de una segunda filtración de datos que fue un problema de seguridad que la empresa dijo haber descubierto por sí misma. Petco atribuyó la violación de datos a “una configuración en una de nuestras aplicaciones de software que sin darse cuenta permitió el acceso a ciertos archivos en línea”, pero no proporcionó detalles específicos del incidente.
Esta violación de datos involucró información confidencial del cliente, como números de seguro social, licencias de conducir e información financiera, incluidos números de tarjetas de débito y crédito.
Olvera se negó a decir cuántas personas se vieron afectadas por el incidente de septiembre, pero la ley de California exige que las empresas revelen públicamente las violaciones de datos si el número de víctimas en el estado supera las 500 personas.
TechCrunch entiende que esta última violación de datos que involucra a Vetco es un incidente de seguridad separado, ya que Petco comenzó a informar a sus clientes sobre la violación de datos anterior hace varios meses.
About The Author
