شرکت پتکو، فعال در زمینه سلامت حیوانات خانگی، بخشی از وبسایت کلینیکهای Vetco خود را پس از یک نقص امنیتی که موجب افشای اطلاعات شخصی بسیاری از مشتریان در سطح اینترنت شده بود، به حالت آفلاین درآورده است.
پس از آنکه خبرنگار شرکت را نسبت به افشای دادههای مربوط به مشتریان و حیوانات خانگی آنها در Vetco مطلع کرد، پتکو در بیانیهای تأیید کرد که در حال بررسی این نشت داده در خدمات دامپزشکی خود بوده و از ارائه توضیحات بیشتر خودداری کرد.
این نقص امنیتی باعث شده بود که هر کسی در اینترنت بتواند سوابق مشتریان Vetco را بدون نیاز به ورود با نام کاربری از وبسایت آن دانلود کند. حداقل یک پرونده مشتری در این حادثه افشا و توسط گوگل فهرست شده بود و هر کسی با جستجوی آن به اطلاعات دسترسی پیدا میکرد.
سوابق مشتریان که توسط خبرنگار مشاهده شده شامل خلاصه ویزیت، تاریخچه پزشکی، مدارک نسخه و واکسیناسیون و دیگر فایلهای مربوط به مشتریان و حیوانات خانگی آنها بوده است.
این اطلاعات همچنین شامل نام مشتری، آدرس منزل، ایمیل و شماره تلفن آنها، محل کلینیک Vetco که خدمات در آن ارائه شده، ارزیابیها و تستهای پزشکی و تشخیصها، هزینه خدمات، نام دامپزشکها، فرمهای رضایت، امضای مالک و تاریخ ارائه خدمات بوده است.
در فایلها همچنین نام حیوان، گونه و نژاد، جنسیت، سن و تاریخ تولد، شماره میکروچیپ (در صورت ثبت)، علائم حیاتی پزشکی و مدارک نسخههای تجویزی ثبت شده بود.
خبرنگار روز جمعه پس از کشف این آسیبپذیری، پتکو را از موضوع مطلع کرد. شرکت چند روز بعد و در روز سهشنبه، پس از آنکه خبرنگار مدارک مربوط به چند مشتری افشاشده را به ایمیل ضمیمه کرد، وقوع افشای داده را تأیید کرد.
سخنگوی پتکو، ونتورا اولورا، اواخر سهشنبه به خبرنگار گفت که شرکت «اقدامات بیشتری را اتخاذ کرده و در آینده نیز برای تقویت بیشتر امنیت سیستمهای خود ادامه خواهد داد»، اگرچه مدرکی برای این ادعا ارائه نکرد.
اولورا حاضر نشد بگوید آیا شرکت ابزار فنی، مانند ثبت لاگها، برای تشخیص استخراج شدن اطلاعات از سیستمهای شرکت در جریان این حادثه داشته است یا خیر.
چگونگی کشف نشت داده توسط خبرنگار
خبرنگار یک آسیبپذیری در نحوه تولید فایلهای PDF برای مشتریان در وبسایت Vetco شناسایی کرد.
درگاه مشتریان Vetco که در petpass.com قرار دارد، این امکان را به مشتریان میدهد تا به سوابق دامپزشکی و اسناد مربوط به مراقبت از حیوان خانگی خود دسترسی داشته باشند، اما خبرنگار متوجه شد که صفحه تولید PDF در این وبسایت عمومی بوده و با رمز عبور محافظت نمیشد.
بنابراین هر شخصی در اینترنت میتوانست با تغییر نشانی وب و وارد کردن شماره شناسایی منحصر به فرد مشتری، به طور مستقیم به فایلهای حساس مشتریان از سرورهای Vetco دسترسی پیدا کند. شماره مشتریان Vetco به صورت متوالی است و این بدان معنی بود که تنها با تغییر یک یا دو رقم از شماره مشتری میتوان به دادههای سایر مشتریان نیز دست پیدا کرد.
خبرنگار با بررسی فواصل صد هزار نفری تعداد مشتریان، احتمالاً تعداد پروندههای افشاشده را ارزیابی کرد. متوالی بودن شمارههای مشتریان نشان میدهد که اطلاعات میلیونها مشتری پتکو میتوانست قابل دستیابی باشد.
این نقص در اصطلاح باگ «ارجاع مستقیم به شیء ناایمن» (IDOR) نام دارد؛ یک کاستی رایج در اقدامات امنیتی که موجب میشود افراد بدون تأیید هویت و داشتن مجوز، به فایلهای سرور دست یابند.
مشخص نیست این دادهها چه مدت افشا بودهاند، اما سابقه مشتریای که در گوگل فهرست شده بود، مربوط به اواسط سال ۱۳۹۹ بود.
سومین افشای پتکو در سال جاری
طبق شمارش خبرنگار، این سومین افشای داده پتکو در سال ۱۴۰۴ است.
در اوایل سال جاری، تعدادی از هکرهایی که با گروه لابسوس شکارچی پراکنده همکاری داشتند، حجم زیادی از دادههای پایگاه اطلاعاتی مشتریان پتکو را با همکاری شرکت میزبان ابری Salesforce سرقت کردند. این هکرها از شرکتهای قربانی درخواستی مطرح کردند تا در صورت عدم فاششدن اطلاعات، مبلغی پرداخت کنند.
در شهریورماه، پتکو از وقوع دومین حادثه افشای داده خبر داد که مربوط به مشکل امنیتیای بود که شرکت مدعی شد خود آن را کشف کرده است. پتکو علت این نشت داده را «تنظیماتی در یکی از نرمافزارها که به طور سهوی باعث در دسترس بودن برخی فایلها به صورت آنلاین شده بود» اعلام کرد، اما جزئیات بیشتری ارائه نکرد.
این رخداد نیز اطلاعات حساس مشتریان نظیر شماره تأمین اجتماعی، گواهینامه رانندگی، و اطلاعات مالی از جمله شماره کارت بدهی و اعتباری را شامل میشد.
اولورا درباره تعداد افرادی که در حادثه شهریورماه تحت تأثیر قرار گرفتهاند توضیحی نداد، اما قوانین ایالت کالیفرنیا شرکتها را موظف کرده که در صورت بیش از ۵۰۰ قربانی، رخداد افشای داده را به طور عمومی اعلام کنند.
خبرنگار معتقد است که نشت داده جدید مربوط به Vetco یک رویداد امنیتی جداگانه است؛ چرا که پتکو چند ماه پیش مشتریان خود را درباره نشت قبلی مطلع ساخته بود.
