ترند شیفت، اخبار تکنولوژیTrendShift.ir - ترند شیفت، اخبار تکنولوژی

Security

پتکو وب‌سایت وتکو را پس از افشای اطلاعات شخصی مشتریان از دسترس خارج کرد

5 دقیقه مطالعه
منبع
پتکو وب‌سایت وتکو را پس از افشای اطلاعات شخصی مشتریان از دسترس خارج کرد
چکیده کوتاه
- کلینیک‌های وتکو (Vetco Clinics)*- به دلیل یک آسیب‌پذیری شدید IDOR، اطلاعات میلیون‌ها صاحب حیوان خانگی را فاش کردند که نشان‌دهنده نقض‌های امنیتی مکرر در پتکو (Petco)*- است.
- این سومین نشت اطلاعات پتکو در امسال محسوب می‌شود و نگرانی‌های جدی را در مورد تعهد آن‌ها به حفاظت از اطلاعات حساس مشتریان و سلامت حیوانات خانگی برمی‌انگیزد.

شرکت پتکو که در زمینه سلامت حیوانات خانگی فعالیت می‌کند، بخشی از وب‌سایت کلینیک‌های وتکو (Vetco Clinics) خود را پس از یک نقص امنیتی که حجم زیادی از اطلاعات شخصی مشتریان را در معرض دید عموم قرار داد، از دسترس خارج کرده است.

پس از اینکه تک‌کرانچ شرکت را از داده‌های افشاشده مربوط به مشتریان وتکو و حیوانات خانگی آن‌ها مطلع کرد، پتکو در بیانیه‌ای تأیید کرد که در حال بررسی نشت اطلاعات در شرکت خدمات دامپزشکی خود است و از اظهار نظر بیشتر خودداری کرد.

این نقص امنیتی به هر کسی در اینترنت اجازه می‌داد تا سوابق مشتریان را از وب‌سایت وتکو دانلود کند، بدون اینکه نیازی به اطلاعات ورود کاربر باشد. حداقل یک رکورد مشتری افشا و توسط گوگل ایندکس شد و به هر کسی اجازه داد تا با جستجوی آن، داده‌ها را پیدا کند.

سوابق مشتریان که توسط تک‌کرانچ مشاهده شد، شامل خلاصه‌های ویزیت، سوابق پزشکی، و سوابق نسخه و واکسیناسیون، در میان سایر فایل‌های مربوط به مشتریان وتکو و حیوانات خانگی آن‌ها بود.

این فایل‌ها همچنین شامل نام مشتریان؛ آدرس منزل، آدرس ایمیل و شماره تلفن آن‌ها؛ محل کلینیک وتکو که خدمات در آن انجام شده بود؛ ارزیابی‌های پزشکی، آزمایش‌ها و تشخیص‌ها؛ و هزینه‌های کالاها، نام دامپزشکان، فرم‌های رضایت، امضای مالک و تاریخ خدمات بود.

ما همچنین نام حیوانات، گونه و نژاد، جنسیت، سن و تاریخ تولد، شماره میکروچیپ آن‌ها (در صورت ثبت)، علائم حیاتی پزشکی و سوابق نسخه را در فایل‌ها پیدا کردیم.

تک‌کرانچ پس از کشف آسیب‌پذیری در روز جمعه، شرکت پتکو را از این نقص امنیتی مطلع کرد. این شرکت چند روز بعد، در سه‌شنبه هفته بعد، پس از اینکه تک‌کرانچ با پیوست کردن چندین فایل افشاشده مشتری به ایمیل ما، پیگیری کرد، افشای اطلاعات را تأیید کرد.

ونتورا اولورا، سخنگوی پتکو، روز سه‌شنبه دیروقت به تک‌کرانچ گفت که این شرکت "اقدامات بیشتری را برای تقویت بیشتر امنیت سیستم‌های خود اجرا کرده و به اجرای آن‌ها ادامه خواهد داد"، اگرچه شرکت شواهدی برای این ادعا ارائه نکرد.

اولورا نگفت که آیا این شرکت ابزارهای فنی لازم، مانند گزارش‌ها، برای تعیین اینکه آیا داده‌ای در طول نشت اطلاعات از سیستم‌های شرکت استخراج شده است یا خیر، در اختیار دارد.

چگونه تک‌کرانچ نشت اطلاعات را پیدا کرد

تک‌کرانچ یک آسیب‌پذیری را در نحوه تولید کپی‌های اسناد PDF برای مشتریان خود توسط وب‌سایت وتکو شناسایی کرد.

پورتال مشتریان وتکو، واقع در petpass.com، به مشتریان اجازه می‌دهد تا وارد شوند و سوابق دامپزشکی و سایر اسناد مربوط به مراقبت از حیوان خانگی خود را دریافت کنند. اما تک‌کرانچ متوجه شد که صفحه تولید PDF در وب‌سایت وتکو عمومی است و با رمز عبور محافظت نمی‌شود.

بنابراین، امکان دسترسی هر کسی در اینترنت به فایل‌های حساس مشتریان مستقیماً از سرورهای وتکو با تغییر آدرس وب برای وارد کردن شماره شناسایی منحصربه‌فرد مشتری وجود داشت. شماره‌های مشتریان وتکو متوالی هستند، به این معنی که می‌توان با تغییر یک یا دو رقم از شماره مشتری، به داده‌های سایر مشتریان دسترسی پیدا کرد.

تک‌کرانچ در فواصل ۱۰۰,۰۰۰ مشتری بررسی کرد تا تعیین کند چه تعداد رکورد ممکن است در مجموع افشا شده باشد. شماره‌های متوالی مشتری نشان می‌دهد که اطلاعات میلیون‌ها مشتری پتکو ممکن است بازیابی شده باشد.

این باگ به عنوان یک ارجاع مستقیم ناامن (insecure direct object reference) (یا IDOR) طبقه‌بندی می‌شود، یک نقص رایج در شیوه‌های امنیتی که دسترسی نامحدود به فایل‌ها در یک سرور را فراهم می‌کند، زیرا بررسی‌های مناسبی برای اطمینان از اینکه فردی که به داده‌ها دسترسی دارد مجاز است، وجود ندارد.

مشخص نیست که این سوابق مشتری چه مدت در معرض خطر بوده‌اند، اما رکورد مشتری که در گوگل فهرست شده بود، مربوط به اواسط سال ۲۰۲۰ بود.

سومین نشت اطلاعات پتکو در این سال

طبق شمارش تک‌کرانچ، این سومین نشت اطلاعات پتکو در سال ۲۰۲۵ است.

اوایل امسال، هکرهایی که با گروه هکری Scattered Lapsus$ Hunters مرتبط بودند، ادعا کردند که حجم زیادی از داده‌ها را از پایگاه داده اطلاعات مشتریان که پتکو با غول ابری Salesforce میزبانی می‌کند، به سرقت برده‌اند. هکرها از شرکت‌های قربانی خواستند تا برای عدم افشای اطلاعاتشان باج بپردازند.

در ماه سپتامبر، پتکو دومین نشت اطلاعات را که شامل یک مشکل امنیتی بود و شرکت اعلام کرد که خود آن را کشف کرده است، افشا کرد. پتکو نشت اطلاعات را به "تنظیمی در یکی از برنامه‌های نرم‌افزاری ما که به طور تصادفی اجازه دسترسی به برخی فایل‌ها را به صورت آنلاین می‌داد" نسبت داد، اما جزئیات خاصی از حادثه ارائه نکرد.

آن نشت اطلاعات شامل اطلاعات حساس مشتریان، مانند شماره‌های تأمین اجتماعی، گواهینامه‌های رانندگی و اطلاعات مالی، از جمله شماره کارت‌های نقدی و اعتباری بود.

اولورا از گفتن اینکه چه تعداد از افراد تحت تأثیر حادثه سپتامبر قرار گرفته‌اند، خودداری کرد، اما قانون کالیفرنیا شرکت‌ها را ملزم می‌کند که نشت اطلاعات را به صورت عمومی افشا کنند، زمانی که تعداد قربانیان در ایالت از ۵۰۰ نفر فراتر رود.

تک‌کرانچ معتقد است که این آخرین نشت اطلاعات مربوط به وتکو یک حادثه امنیتی جداگانه است، با توجه به اینکه پتکو چندین ماه پیش شروع به اطلاع‌رسانی به مشتریان خود در مورد نشت اطلاعات قبلی کرده بود.

این مقاله توسط هوش مصنوعی ترجمه شده است و ممکن است دارای اشکالاتی باشد. برای دقت بیشتر، می‌توانید منبع اصلی را مطالعه کنید.

اختصاصیامنیت_سایبرینشت_اطلاعاتافشای_اطلاعاتپتکووتکو

مطالب مرتبط

چطور استارتاپ خود را در بازاری شلوغ متمایز کنید، از زبان سرمایه‌گذاران
Startups

چطور استارتاپ خود را در بازاری شلوغ متمایز کنید، از زبان سرمایه‌گذاران

تعداد فالوور در شبکه‌های اجتماعی دیگر اهمیتی ندارد، مدیران اقتصاد خالقان می‌گویند
Social

تعداد فالوور در شبکه‌های اجتماعی دیگر اهمیتی ندارد، مدیران اقتصاد خالقان می‌گویند

۲۰۲۵ سالی بود که هوش مصنوعی چک شد
AI

۲۰۲۵ سالی بود که هوش مصنوعی چک شد

Plaud Note Pro یک ضبط‌کننده عالی با هوش مصنوعی است که همه‌جا با خودم می‌برم
AI

Plaud Note Pro یک ضبط‌کننده عالی با هوش مصنوعی است که همه‌جا با خودم می‌برم