Petco, müşterilerin kişisel verileri açığa çıkınca Vetco sitesini kısmen kapattı

Evcil hayvan sağlığı şirketi Petco, veteriner hizmetleri markası Vetco Clinicse ait internet sitesindeki ciddi bir güvenlik açığı nedeniyle sitenin bir bölümünü geçici olarak çevrimdışı aldı. Açık, müşterilerin kişisel bilgilerini ve evcil hayvanlarına ait sağlık kayıtlarını herkesin erişimine açık hale getirdi.

Güvenlik açığını tespit eden gazetecilerin uyarısı üzerine harekete geçen Petco, yaptığı açıklamada olayın incelendiğini ve veri sızıntısının kapsamının araştırıldığını doğruladı; ancak soruşturma sürdüğü gerekçesiyle detay vermedi.

Ortaya çıkarılan açık sayesinde, herhangi bir kullanıcı girişi olmadan Vetco sisteminde bulunan müşteri kayıtları internet üzerinden indirilebiliyordu. En az bir müşteriye ait kayıt, arama motorları tarafından indekslendi ve yalnızca arama yaparak bu hassas bilgilere ulaşmak mümkün hale geldi.

Sızan belgelerde ziyaret özetleri, tıbbi geçmiş, reçete ve aşılama kayıtları gibi çok sayıda dosya yer alıyordu. Dosyalarda ayrıca müşterilerin ad ve soyadları, ev adresleri, e-posta adresleri ve telefon numaraları, hizmet alınan Vetco kliniğinin konumu, yapılan tıbbi değerlendirmeler, testler ve teşhisler, sunulan hizmetlerin maliyet kalemleri, veteriner isimleri, onam formları, imzalar ve hizmet tarihleri bulunuyordu.

Evcil hayvanlara ilişkin bölümde ise hayvanların isimleri, tür ve ırk bilgileri, cinsiyeti, yaşı ve doğum tarihi, varsa mikroçip numaraları, vital bulguları ve reçete kayıtları yer aldı.

Şirket, açığın kendilerine bildirildiği günden birkaç gün sonra yaptığı açıklamada, sistemlerinde ek güvenlik önlemleri uygulamaya başladığını ve bu önlemlerin güçlendirileceğini belirtti. Ancak, verilerin olay süresince kimler tarafından ve ne ölçüde indirildiğini tespit etmeye yarayacak teknik kayıtlara (örneğin erişim loglarına) sahip olup olmadığını açıklamadı.

Vetco portalındaki güvenlik açığı nasıl çalışıyordu?

Güvenlik problemi, Vetco’nun müşterilere PDF formatında belge üretme yöntemiyle ilgili bir zafiyetten kaynaklandı.

Vetco’nun petpass.com adresinde bulunan müşteri portalı, kullanıcıların giriş yaparak evcil hayvanlarına ait veteriner kayıtlarını ve diğer belgeleri görüntülemesini sağlıyor. Ancak incelemelerde, bu portalın PDF üretmek için kullandığı sayfanın kamuya açık olduğu ve şifre koruması bulunmadığı tespit edildi.

Bu nedenle, internet erişimi olan herhangi biri, belge oluşturan sayfanın adresini değiştirerek doğrudan Vetco sunucularındaki hassas müşteri dosyalarına ulaşabiliyordu. Buradaki kritik nokta, Vetco’nun kullandığı müşteri numaralarının ardışık (sekanslı) olmasıydı. Yani adres satırındaki müşteri kimlik numarasını bir veya iki rakam artırıp azaltarak başka müşterilere ait kayıtlara erişmek mümkündü.

Yapılan kontrollerde farklı aralıklardan örnekler alınarak sisteme kayıtlı kaç müşterinin etkilenmiş olabileceği tahmin edilmeye çalışıldı. Ardışık numaralandırma yapısı, teorik olarak milyonlarca Petco müşterisinin verilerinin bu yöntemle çekilebilmiş olabileceğine işaret ediyor.

Uzmanlara göre bu hata, siber güvenlik literatüründe “insecure direct object reference” (IDOR) olarak sınıflandırılan, oldukça yaygın bir güvenlik zafiyeti türü. Bu tür açıklar, sistemin, erişim isteğinde bulunan kişinin gerçekten o dosyaya erişme yetkisi olup olmadığını doğru şekilde kontrol etmemesi nedeniyle ortaya çıkıyor.

Müşteri kayıtlarının ne kadar süredir herkese açık durumda olduğu kesin değil. Ancak arama motoru tarafından indekslenen bir örnek kaydın 2020 yılının ortalarına ait olması, açığın uzun süredir fark edilmemiş olabileceğini düşündürüyor.

Petco’nun 2025’teki üçüncü veri ihlali

Bu olay, 2025 yılı içinde Petco’nun üçüncü veri ihlali olarak kayda geçti.

Yılın başlarında, Scattered Lapsus$ Hunters isimli fidye saldırılarıyla bilinen bir hacker grubu, Petco’nun bulut bilişim sağlayıcısı Salesforce üzerinde tutulan bir müşteri veritabanından büyük miktarda veri çaldığını iddia etti. Grup, bu saldırıda hedef aldığı şirketlerden, bilgilerin sızdırılmaması için para talep etti.

Eylül ayında ise Petco, kendi tespiti olduğunu belirttiği ikinci bir güvenlik olayını duyurdu. Şirket, bu sızıntının, “kullandıkları yazılım uygulamalarından birindeki bir ayarın, bazı dosyaların çevrimiçi olarak yanlışlıkla erişilebilir hale gelmesine yol açtığını” savundu; ancak olayın teknik ayrıntılarını kamuoyu ile paylaşmadı.

Bu ikinci veri ihlali kapsamında, müşterilere ait son derece hassas bilgiler açığa çıktı. Bu bilgiler arasında Sosyal Güvenlik numaraları, ehliyet bilgileri ve finansal veriler (banka kartı ve kredi kartı numaraları da dahil) yer alıyordu.

Şirket sözcüsü, Eylül ayındaki olaydan kaç kişinin etkilendiğini açıklamayı reddetti. Ancak Kaliforniya yasalarına göre, eyalette 500’den fazla kişinin etkilendiği veri ihlallerinin kamuya duyurulması zorunlu.

Uzmanlar, Vetco’ya ait son veri sızıntısının, daha önce duyurulan bu olaylardan ayrı ve üçüncü bir güvenlik vakası olduğu görüşünde. Zira Petco, önceki veri ihlali nedeniyle müşterilerini aylar önce bilgilendirmeye başlamış, Vetco portalındaki sorun ise bu süreçten bağımsız olarak ortaya çıkarılmıştı.

Müşteriler için ne anlama geliyor?

Art arda yaşanan bu olaylar, Petco’nun siber güvenlik uygulamalarına yönelik ciddi soru işaretleri doğurmuş durumda. Uzmanlar, özellikle sağlık ve finansal bilgiler gibi hassas verileri işleyen şirketlerin, erişim kontrolü, veri şifreleme ve sistem izleme gibi temel güvenlik kontrollerini tekrar gözden geçirmesi gerektiğini vurguluyor.

Petco ise kamuoyuna yaptığı açıklamalarda, sistemlerini güçlendirmek için ilave adımlar attığını savunuyor. Ancak hem bu son olayda hem de önceki ihlallerde kaç müşterinin etkilendiği ve verilerin kötü niyetli kişilerce kullanılıp kullanılmadığı soruları hâlâ tam olarak yanıtlanmış değil.