Petco, milyonlarca müşterinin kişisel bilgilerini ve evcil hayvanlarının tıbbi geçmişlerini herkese açık internete ifşa eden önemli bir güvenlik açığının ardından Vetco Klinikleri web sitesinin bir bölümünü çevrimdışı hale getirdi. Güvenlik açığı TechCrunch tarafından keşfedildi ve bildirildi.

Güvenlik açığı, herkesin Vetco'nun web sitesinden hassas müşteri kayıtlarını giriş bilgileri gerektirmeden doğrudan indirmesine olanak tanıdı. TechCrunch, en az bir müşteri kaydının Google tarafından indekslendiğini ve böylece herkese açık olarak aranabilir hale geldiğini doğruladı. Açığa çıkan veriler, müşteri adları, ev adresleri, e-posta adresleri, telefon numaraları ve ayrıntılı evcil hayvan tıbbi geçmişleri dahil olmak üzere kapsamlıydı.

TechCrunch tarafından incelenen ele geçirilmiş kayıtlar, çok sayıda hassas bilgi içeriyordu. Evcil hayvan sahipleri için bu, adları, ev adreslerini, e-posta adreslerini, telefon numaralarını ve hatta rıza formlarındaki sahip imzalarını içeriyordu. Evcil hayvanlar için ise veriler, adları, türleri, ırkları, cinsiyetleri, yaşları, doğum tarihleri, mikroçip numaraları, tıbbi hayati değerleri, ziyaret özetleri, ayrıntılı tıbbi geçmişleri, teşhisleri, reçete ve aşı kayıtlarını ve Vetco kliniklerinde sunulan hizmetlerin maliyetlerini kapsıyordu.

TechCrunch, Petco'yu güvenlik açığı konusunda ilk olarak bir Cuma günü uyardı. Petco, veri sızıntısını birkaç gün sonra, takip eden Salı günü, ancak TechCrunch'ın bir sonraki e-postada ifşa edilmiş müşteri dosyalarını ekleyerek somut kanıt sunmasından sonra kabul etti. Petco sözcüsü Ventura Olvera, şirketin "sistemlerimizin güvenliğini daha da güçlendirmek için ek önlemler uyguladığını ve uygulamaya devam edeceğini" belirtti, ancak bu iddiayı destekleyecek hiçbir kanıt sunmadı. Olvera ayrıca, Petco'nun ihlal sırasında herhangi bir verinin alınıp alınmadığını tespit etmek için sistem günlükleri gibi teknik yeteneklere sahip olup olmadığını doğrulamayı da reddetti.

Veri Sızıntısı Nasıl Gerçekleşti?

TechCrunch, Vetco'nun web sitesinde, özellikle müşteriler için PDF belgelerini nasıl oluşturduğunda bir Güvenli Olmayan Doğrudan Nesne Referansı (IDOR) güvenlik açığı tespit etti. petpass.com adresinde bulunan müşteri portalı, oturum açmış kullanıcıların evcil hayvanlarının veteriner kayıtlarına erişmesine izin veriyordu. Ancak, PDF oluşturma sayfasının kendisi herkese açıktı ve parola koruması yoktu.

Bu kritik kusur, web adresindeki bir müşterinin benzersiz kimlik numarasını değiştirerek herkesin Vetco'nun sunucularındaki hassas dosyalara doğrudan erişebileceği anlamına geliyordu. Vetco'nun müşteri numaraları sıralı olduğu için, rakamları artırarak potansiyel olarak milyonlarca diğer müşterinin kayıtlarını sistematik olarak taramak ve indirmek mümkündü. IDOR'lar, sistemlerin bir kullanıcının belirli verilere erişim yetkisinin olup olmadığını doğrulayamadığı ve yetkisiz erişime yol açtığı yaygın bir güvenlik hatasıdır.

Bu kayıtların ne kadar süreyle açıkta kaldığı belirsizliğini koruyor, ancak Google'da bulunan en az bir müşteri kaydının 2020 ortalarına ait olması, uzun süreli bir güvenlik açığını düşündürüyor.

Petco İçin Bu Yılın Üçüncü Veri İhlali

TechCrunch'a göre, bu son olay Petco'nun 2025'teki üçüncü veri ihlalini işaret ediyor. Yılın başlarında, Scattered Lapsus$ Hunters adlı hacker grubu, Salesforce tarafından barındırılan bir Petco veritabanından iddialara göre büyük miktarda müşteri verisi çaldı ve etkilenen şirketlerden fidye talep etti.

Eylül ayında Petco, ikinci bir güvenlik açığını duyurdu ve bunu dahili olarak keşfettiğini iddia etti. Şirket, bu ihlali "yazılım uygulamalarımızdan birindeki, belirli dosyaların yanlışlıkla çevrimiçi erişilebilir olmasına izin veren bir ayara" bağladı, ancak özel ayrıntılar açıklanmadı. Bu özel ihlal oldukça hassastı; müşteri Sosyal Güvenlik numaraları, ehliyetler ve banka/kredi kartı numaraları dahil olmak üzere finansal bilgileri tehlikeye attı.

Petco sözcüsü Olvera, Eylül ayındaki olaydan etkilenen kişi sayısını belirtmezken, Kaliforniya yasaları 500'den fazla eyalet sakinini etkileyen ihlaller için kamuya açıklama yapılmasını zorunlu kılıyor. TechCrunch, önceki ihlaller için müşteri bildirimlerinin zaman çizelgesi göz önüne alındığında, mevcut Vetco veri sızıntısının önceki olaylardan ayrı, farklı bir güvenlik olayı olduğuna inanıyor.