La société de bien-être pour animaux de compagnie Petco a mis hors ligne une partie de son site Web Vetco Clinics après qu’une faille de sécurité ait exposé des quantités d’informations personnelles de ses clients sur le Web ouvert.
Après que TechCrunch ait alerté l’entreprise des données exposées relatives aux clients de Vetco et à leurs animaux de compagnie, Petco a confirmé dans un communiqué qu’elle enquêtait sur la fuite de données au sein de sa société de services vétérinaires et a refusé de commenter davantage.
Cette faille de sécurité a permis à n’importe qui sur Internet de télécharger les dossiers des clients à partir du site Web de Vetco sans avoir besoin des informations de connexion d’un utilisateur. Au moins un enregistrement client a été exposé et indexé par Google, permettant à quiconque de trouver les données en les recherchant.
Les dossiers clients, consultés par TechCrunch, comprenaient des résumés de visites, des antécédents médicaux et des dossiers de prescription et de vaccination, entre autres fichiers relatifs aux clients de Vetco et à leurs animaux de compagnie.
Les fichiers contenaient également des noms de clients ; leur adresse personnelle, leur adresse e-mail et leur numéro de téléphone ; l’emplacement de la clinique Vetco où les services ont été rendus ; évaluations, tests et diagnostics médicaux; et les coûts des marchandises, les noms des vétérinaires, les formulaires de consentement, les signatures des propriétaires et les dates de service.
Nous avons également trouvé dans les dossiers les noms des animaux, leurs espèces et leurs races, leur sexe, leur âge et leur date de naissance, leur numéro de micropuce (si enregistré), leurs signes vitaux médicaux et leurs ordonnances.
TechCrunch a alerté Petco de la faille de sécurité vendredi après avoir découvert la vulnérabilité. La société a reconnu l’exposition des données quelques jours plus tard, le mardi suivant, après que TechCrunch ait suivi en joignant plusieurs fichiers clients exposés à notre courrier électronique.
Le porte-parole de Petco, Ventura Olvera, a déclaré mardi à TechCrunch que la société avait « mis en œuvre et continuera de mettre en œuvre des mesures supplémentaires pour renforcer davantage la sécurité de nos systèmes », bien que la société n’ait pas fourni de preuves à l’appui de cette affirmation.
Olvera n’a pas voulu dire si l’entreprise dispose des moyens techniques, tels que des journaux, pour déterminer si des données ont été extraites des systèmes de l’entreprise au cours de la fuite de données.
Comment TechCrunch a découvert la fuite de données
TechCrunch a identifié une vulnérabilité dans la façon dont le site Web de Vetco génère des copies de documents PDF pour ses clients.
Le portail client de Vetco, situé sur petpass.com, permet aux clients de se connecter et d’obtenir des dossiers vétérinaires et d’autres documents relatifs aux soins de leur animal. Mais TechCrunch a découvert que la page de génération de PDF sur le site Web de Vetco était publique et non protégée par un mot de passe.
Ainsi, n’importe qui sur Internet pouvait accéder aux fichiers clients sensibles directement à partir des serveurs de Vetco en modifiant l’adresse Web pour saisir le numéro d’identification unique d’un client. Les numéros de client de Vetco sont séquentiels, ce qui signifie que l’on peut accéder aux données d’autres clients simplement en modifiant un numéro de client d’un ou deux chiffres.
TechCrunch a vérifié à intervalles de 100 000 clients pour déterminer combien d’enregistrements auraient pu être exposés au total. Les numéros de clients séquentiels suggèrent que des millions d’informations sur les clients de Petco auraient pu être récupérées.
Le bogue est classé comme référence d’objet direct non sécurisée (ou IDOR), une faille courante dans les pratiques de sécurité qui permet un accès illimité aux fichiers sur un serveur car il n’y a pas de contrôles appropriés en place pour s’assurer que la personne accédant aux données est autorisée à le faire.
On ne sait pas depuis combien de temps ces dossiers clients ont été exposés, mais le dossier client répertorié sur Google était daté de mi-2020.
Troisième violation de Petco cette année
Selon les calculs de TechCrunch, il s’agit de la troisième violation de données de Petco en 2025.
Plus tôt cette année, des pirates informatiques associés au collectif de piratage Scattered Lapsus$ Hunters auraient volé des tonnes de données dans une base de données d’informations clients que Petco héberge avec le géant du cloud Salesforce. Les pirates ont exigé que les entreprises victimes paient une rançon pour éviter que leurs informations ne soient divulguées.
En septembre, Petco a révélé une deuxième violation de données impliquant un problème de sécurité que la société a déclaré avoir découvert elle-même. Petco a imputé la fuite de données à « un paramètre dans l’une de nos applications logicielles qui permettait par inadvertance à certains fichiers d’être accessibles en ligne », mais n’a pas fourni de détails spécifiques sur l’incident.
Cette violation de données comprenait des informations sensibles sur les clients, telles que les numéros de sécurité sociale, les permis de conduire et des informations financières, notamment les numéros de cartes de débit et de crédit.
Olvera a refusé de dire combien de personnes sont touchées par l’incident de septembre, mais la loi californienne oblige les entreprises à divulguer publiquement les violations de données lorsque le nombre de victimes dans l’État dépasse 500 personnes.
TechCrunch estime que cette dernière fuite de données impliquant Vetco est un incident de sécurité distinct, étant donné que Petco a commencé à informer ses clients de la fuite de données précédente il y a plusieurs mois.
