Evcil hayvan sağlığı şirketi Petco, Vetco Clinics web sitesinin bir bölümünü çevrimdışı hale getirdi. Bu adım, güvenlik açığı nedeniyle müşterilere ait kişisel bilgilerin internette açıkça erişilebilir hale gelmesinin ardından atıldı.
GİZLİ MÜŞTERİ VERİLERİ İNTERNETTE YAYINLANDI
TechCrunch'ın Vetco müşterileri ve evcil hayvanlarına ait verilerin açığa çıktığı bilgisi üzerine Petco, veterinerlik hizmetleri şirketindeki veri sızıntısını araştırdığını doğruladı. Güvenlik açığı, internetteki herhangi bir kişinin, kullanıcı giriş bilgisine ihtiyaç duymadan Vetco web sitesinden müşteri kayıtlarını indirebilmesine olanak tanıdı. En az bir müşteri kaydının Google tarafından dizine eklendiği ve aranarak bulunabildiği tespit edildi.
HASSAS BİLGİLER TEHLİKEDE
Açığa çıkan müşteri kayıtlarında, diğer dosyaların yanı sıra ziyaret özetleri, tıbbi geçmişler, reçete ve aşı kayıtları yer alıyordu. Dosyalarda ayrıca müşteri adları, ev adresleri, e-posta ve telefon numaraları; hizmetin alındığı Vetco kliniğinin konumu; tıbbi değerlendirmeler, testler ve teşhisler; mal ve hizmet bedelleri, veteriner isimleri, onay formları, sahip imzaları ve hizmet tarihleri de bulunuyordu. Evcil hayvanların isimleri, türü, cinsi, cinsiyeti, yaşı, doğum tarihi, mikroçip numarası (kayıtlıysa), tıbbi bilgileri ve reçete kayıtları da dosyalarda mevcuttu. TechCrunch, güvenlik açığını Cuma günü tespit ettikten sonra Petco'yu bilgilendirdi. Şirket, Pazartesi günü TechCrunch'ın e-postasına birkaç açık müşteri dosyası ekleyerek durumu takip etmesinin ardından veri maruziyetini kabul etti. Petco sözcüsü Ventura Olvera, şirketin "sistemlerimizin güvenliğini daha da güçlendirmek için ek önlemler uyguladığını ve uygulamaya devam edeceğini" belirtse de, bu iddiayı destekleyecek kanıt sunmadı. Olvera, şirketin veri sızıntısı sırasında herhangi bir verinin sistemlerden çıkarılıp çıkarılmadığını belirleyebilecek teknik araçlara (kayıtlar gibi) sahip olup olmadığını söylemedi. Petco, bu yıl yaşanan üçüncü veri ihlali olarak kayıtlara geçti. Eylül ayında Petco, "yazılım uygulamalarımızdan birindeki bir ayarın istemeden de olsa bazı dosyaların çevrimiçi erişilebilir olmasına izin vermesi" nedeniyle ikinci bir veri ihlali yaşandığını duyurmuştu. Bu ihlal, Sosyal Güvenlik numaraları, ehliyetler ve banka/kredi kartı numaraları gibi hassas müşteri bilgilerini de kapsamıştı.
