Petco expone datos de clientes y mascotas tras falla en sitio Vetco.
Petco Cierra Sitio Web de Vetco Tras Exposición de Datos de Clientes
Petco, la empresa de bienestar animal, ha retirado una parte de su sitio web de Vetco Clinics después de que una vulnerabilidad de seguridad expusiera una gran cantidad de información personal de clientes y sus mascotas a la web abierta.
Tras ser alertada por TechCrunch sobre los datos expuestos relacionados con los clientes de Vetco y sus mascotas, Petco confirmó en un comunicado que estaba investigando la filtración de datos en su compañía de servicios veterinarios, y declinó hacer más comentarios.
La brecha de seguridad permitía a cualquier persona en Internet descargar registros de clientes del sitio web de Vetco sin necesidad de credenciales de acceso. Al menos un registro de cliente fue expuesto e indexado por Google, lo que permitía a cualquiera encontrar los datos simplemente buscándolos.
Los registros de clientes, a los que tuvo acceso TechCrunch, incluían resúmenes de visitas, historiales médicos, y registros de prescripción y vacunación, entre otros archivos relacionados con los clientes de Vetco y sus mascotas.
Los archivos también contenían nombres de clientes, sus direcciones de domicilio, direcciones de correo electrónico y números de teléfono; la ubicación de la clínica Vetco donde se realizaron los servicios; evaluaciones médicas, pruebas y diagnósticos; así como los costos de los productos, nombres de los veterinarios, formularios de consentimiento, firmas de los propietarios y fechas de servicio.
Asimismo, se encontraron nombres de animales, especies y razas, su sexo, edad y fecha de nacimiento, su número de microchip (si estaba registrado), sus constantes vitales médicas y registros de prescripción en los archivos.
TechCrunch alertó a Petco sobre la falla de seguridad el viernes tras descubrir la vulnerabilidad. La compañía reconoció la exposición de datos días después, el martes siguiente, después de que TechCrunch adjuntara varios archivos de clientes expuestos en un correo electrónico de seguimiento.
El portavoz de Petco, Ventura Olvera, declaró a TechCrunch a última hora del martes que la compañía «ha implementado, y seguirá implementando, medidas adicionales para fortalecer aún más la seguridad de nuestros sistemas», aunque la compañía no proporcionó pruebas de esta afirmación.
Olvera no quiso confirmar si la empresa cuenta con los medios técnicos, como registros, para determinar si se extrajeron datos de los sistemas de la compañía durante el curso de la filtración de datos.
Cómo TechCrunch descubrió la filtración de datos
TechCrunch identificó una vulnerabilidad en la forma en que el sitio web de Vetco genera copias de documentos PDF para sus clientes.
El portal de clientes de Vetco, ubicado en petpass.com, permite a los clientes iniciar sesión y obtener registros veterinarios y otros documentos relacionados con el cuidado de sus mascotas. Sin embargo, TechCrunch descubrió que la página de generación de PDF del sitio web de Vetco era pública y no estaba protegida por contraseña.
Por lo tanto, era posible que cualquier persona en Internet accediera a archivos confidenciales de clientes directamente desde los servidores de Vetco modificando la dirección web para introducir el número de identificación único de un cliente. Los números de cliente de Vetco son secuenciales, lo que significa que se podía acceder a los datos de otros clientes simplemente cambiando un número de cliente en una o dos unidades.
TechCrunch realizó comprobaciones a intervalos de 100.000 clientes para determinar cuántos registros podrían haber sido expuestos en total. Los números de cliente secuenciales sugieren que la información de millones de clientes de Petco podría haber sido recuperada.
El error se clasifica como una referencia directa de objeto insegura (o IDOR), una falla común en las prácticas de seguridad que permite el acceso irrestricto a archivos en un servidor porque no existen las comprobaciones adecuadas para asegurar que la persona que accede a los datos está autorizada para ello.
No está claro cuánto tiempo han estado expuestos estos registros de clientes, pero el registro de cliente listado en Google databa de mediados de 2020.
Tercera brecha de Petco este año
Según el recuento de TechCrunch, esta es la tercera filtración de datos de Petco en 2025.
A principios de este año, hackers asociados con el colectivo de hackers Scattered Lapsus$ Hunters supuestamente robaron una gran cantidad de datos de una base de datos de información de clientes que Petco aloja con el gigante de la nube Salesforce. Los hackers exigieron a las empresas víctimas que pagaran un rescate para evitar que su información fuera filtrada.
En septiembre, Petco reveló una segunda filtración de datos que implicaba un problema de seguridad que la compañía dijo haber descubierto por sí misma. Petco atribuyó la filtración de datos a «una configuración dentro de una de nuestras aplicaciones de software que inadvertidamente permitió que ciertos archivos fueran accesibles en línea», pero no proporcionó detalles específicos del incidente.
Esa filtración de datos incluía información confidencial de clientes, como números de Seguro Social, licencias de conducir e información financiera, incluyendo números de tarjetas de débito y crédito.
Olvera se negó a decir cuántas personas se vieron afectadas por el incidente de septiembre, pero la ley de California exige que las empresas divulguen públicamente las filtraciones de datos cuando el número de víctimas en el estado supera las 500 personas.
TechCrunch cree que esta última filtración de datos que involucra a Vetco es un incidente de seguridad separado, dado que Petco comenzó a notificar a sus clientes sobre la filtración de datos anterior hace varios meses.