Petco derruba site da Vetco após expor informações pessoais de clientes

A empresa de bem-estar para animais de estimação Petco colocou uma parte de seu site da Vetco Clinics offline depois que uma falha de segurança expôs muitas informações pessoais de clientes à web aberta.

Depois que o TechCrunch alertou a empresa sobre os dados expostos relacionados aos clientes da Vetco e seus animais de estimação, a Petco confirmou em comunicado que estava investigando o vazamento de dados em sua empresa de serviços veterinários e se recusou a comentar mais.

A falha de segurança permitiu que qualquer pessoa na Internet baixasse registros de clientes do site da Vetco sem precisar das informações de login do usuário. Pelo menos um registro de cliente foi exposto e indexado pelo Google, permitindo que qualquer pessoa encontrasse os dados pesquisando-os.

Os registros dos clientes, vistos pelo TechCrunch, incluíam resumos de visitas, históricos médicos e registros de prescrição e vacinação, entre outros arquivos relacionados aos clientes da Vetco e seus animais de estimação.

Os arquivos também continham nomes de clientes; seu endereço residencial, endereço de e-mail e número de telefone; a localização da clínica Vetco onde foram realizados os serviços; avaliações médicas, testes e diagnósticos; e os custos dos produtos, nomes dos veterinários, formulários de consentimento, assinaturas dos proprietários e datas de serviço.

Também encontramos nomes de animais, espécies e raças, sexo, idade e data de nascimento, número do microchip (se registrado), sinais médicos e registros de prescrição nos arquivos.

O TechCrunch alertou Petco sobre a falha de segurança na sexta-feira, após descobrir a vulnerabilidade. A empresa reconheceu a exposição dos dados dias depois, na terça-feira seguinte, após o TechCrunch anexar vários arquivos de clientes expostos ao nosso e-mail.

O porta-voz da Petco, Ventura Olvera, disse ao TechCrunch na noite de terça-feira que a empresa “implementou e continuará a implementar medidas adicionais para fortalecer ainda mais a segurança de nossos sistemas”, embora a empresa não tenha fornecido evidências para a afirmação.

Olvera não disse se a empresa possui os meios técnicos, como registros, para determinar se algum dado foi extraído dos sistemas da empresa durante o vazamento de dados.

Como o TechCrunch encontrou o vazamento de dados

O TechCrunch identificou uma vulnerabilidade na forma como o site da Vetco gera cópias de documentos PDF para seus clientes.

Portal do cliente da Vetco, localizado em petpass.compermite que os clientes façam login e obtenham registros veterinários e outros documentos relacionados aos cuidados de seus animais de estimação. Mas o TechCrunch descobriu que a página geradora de PDF no site da Vetco era pública e não protegida por senha.

Dessa forma, foi possível para qualquer pessoa na Internet acessar arquivos confidenciais de clientes diretamente dos servidores da Vetco, modificando o endereço da web para inserir o número de identificação exclusivo do cliente. Os números de clientes da Vetco são sequenciais, o que significa que é possível acessar os dados de outros clientes simplesmente alterando o número do cliente em um ou dois dígitos.

O TechCrunch verificou em intervalos de 100.000 clientes para determinar quantos registros podem ter sido expostos no total. Os números sequenciais de clientes sugerem que milhões de informações de clientes da Petco poderiam ter sido recuperadas.

O bug é classificado como uma referência direta de objeto insegura (ou IDOR), um lapso comum nas práticas de segurança que permite acesso irrestrito a arquivos em um servidor porque não há verificações adequadas para garantir que a pessoa que acessa os dados tenha permissão para fazê-lo.

Não está claro por quanto tempo esses registros de clientes ficaram expostos, mas o registro do cliente listado no Google foi datado de meados de 2020.

Terceira violação da Petco este ano

Pelas contas do TechCrunch, esta é a terceira violação de dados da Petco em 2025.

No início deste ano, hackers associados ao coletivo de hackers Scattered Lapsus$ Hunters supostamente roubaram resmas de dados de um banco de dados de informações de clientes que a Petco hospeda com o gigante da nuvem Salesforce. Os hackers exigiram que as empresas vítimas pagassem um resgate para não terem suas informações vazadas.

Em setembro, a Petco divulgou uma segunda violação de dados envolvendo um problema de segurança que a empresa disse ter descoberto por conta própria. Petco atribuiu o vazamento de dados a “uma configuração em um de nossos aplicativos de software que inadvertidamente permitiu que certos arquivos fossem acessíveis online”, mas não forneceu detalhes específicos do incidente.

Essa violação de dados incluiu informações confidenciais de clientes, como números de seguro social, carteiras de motorista e informações financeiras, incluindo números de cartão de débito e crédito.

Olvera se recusou a dizer quantas pessoas foram afetadas pelo incidente de setembro, mas a lei da Califórnia exige que as empresas divulguem publicamente as violações de dados quando o número de vítimas no estado ultrapassar 500 pessoas.

O TechCrunch acredita que este último vazamento de dados envolvendo a Vetco é um incidente de segurança separado, visto que a Petco começou a notificar seus clientes sobre o vazamento de dados anterior há vários meses.