【量子位 2025年12月5日讯】宠物用品零售巨头Petco的用户数据安全防线再出漏洞。12月5日,Petco向美国加利福尼亚州总检察长办公室提交文件,正式确认发生一起数据安全事故——因旗下一款软件应用“配置设置失误”,部分用户个人信息意外暴露在公开网络中。目前Petco已紧急修正配置并移除暴露文件,但关于“多少用户受影响”“哪些信息被泄露”等核心问题,官方仍含糊其辞,仅表示已向涉事用户单独告知细节,并为受害者提供免费信用监测与身份盗窃防护服务。此次事件不仅引发用户对数据隐私的担忧,也再度暴露零售行业“软件配置漏洞”这一高频安全隐患。
祸起软件配置失误:Petco自查发现漏洞,紧急下线暴露文件
根据Petco提交给加州监管机构的文件及对外发布的用户通知信,此次数据泄露的根源并非复杂的黑客攻击,而是“基础安全配置疏漏”。Petco在通知中解释,技术团队在内部安全审计时,发现旗下某款用于用户服务的软件应用中,一个关键设置存在错误——该设置本应限制文件访问权限,却因配置不当导致部分用户相关文件可被公开访问。
发现问题后,Petco采取了两项紧急措施:
-
即时止损:24小时内修正软件配置,关闭文件的公开访问权限,并将所有暴露在外的文件从线上移除,防止信息进一步扩散;
-
用户通知:向确认受影响的用户发送个性化通知信,告知其信息可能已暴露的情况,并提供免费的12个月信用监测服务(涵盖身份盗窃预警、信用报告跟踪等功能),帮助用户防范后续风险。
但这份通知信被诟病“信息严重不足”。加州总检察长办公室公开的通知样本显示,信中仅提及“个人信息可能暴露”,却未明确说明暴露的信息类型(如姓名、邮箱、地址、支付信息等),也未解释漏洞存在的具体时间、文件可被访问的范围。这种“模糊表述”引发用户不满,有加州用户在社交平台吐槽:“只说信息泄露,却不告诉我丢了什么,连要不要换信用卡、改密码都不知道,免费监测更像‘安抚手段’。”
多州用户牵涉其中:加州至少500人受影响,其他地区数据成谜
从目前披露的信息来看,此次泄露已波及美国多个州,但具体规模仍不明确。
依据加州法律规定,企业若发生“影响500名及以上本州居民”的数据泄露,必须向州总检察长办公室报告——这意味着Petco在加州的受影响用户至少有500人。此外,马萨诸塞州政府官网显示,Petco已向该州“数量未公开”的用户发送泄露通知;蒙大拿州则确认有3名居民受波及。而Petco在全美拥有超600家线下门店及庞大的线上用户群体,此次泄露是否涉及更多州、是否包含国际用户(如加拿大、墨西哥等北美市场用户),官方尚未给出答案。
TechCrunch记者就“受影响用户总数”“信息泄露类型”“漏洞存在时长”等问题向Petco发言人文图拉·奥尔维拉(Ventura Olvera)追问,但对方仅回应“已向涉事用户提供更详细信息”,未正面答复任何公开质询。这种“避重就轻”的态度引发 cybersecurity 专家质疑,网络安全公司Secureworks高级分析师艾米丽·陈(Emily Chen)指出:“不公开泄露范围和信息类型,会让用户无法针对性采取防护措施——比如若支付信息泄露,用户需要紧急冻结银行卡;若仅是邮箱地址,风险则相对较低。Petco的做法不符合数据泄露应对的‘透明性原则’。”
合规压力下的“被动应对”:免费监测服务或藏法律考量
Petco此次主动提供免费信用监测服务,除安抚用户外,也与美国多地数据安全法规的“强制要求”密切相关。以加州为例,若企业泄露的用户信息包含驾照号码、社保号码等“高敏感数据”,法律明确要求企业必须为受害者提供至少12个月的免费信用监测资源,且需承担相关服务费用。
从Petco的通知内容推测,此次泄露可能涉及“高敏感信息”。尽管官方未明说,但“提供信用监测”这一动作被业内视为信号——通常只有当用户身份信息(如社保号、驾照号)或财务信息(如信用卡号片段)存在泄露风险时,企业才会启动此类服务。2020年Petco旗下PupBox网站曾发生过类似事件,当时泄露了3万名用户的姓名、地址、信用卡号及CVV码,最终引发集体诉讼并支付高额赔偿金;此次Petco快速推出信用监测,或有“避免重蹈覆辙、降低法律风险”的考量。
不过,用户对这项服务的认可度有限。有受影响用户表示,信用监测需要提交更多个人信息(如社保号后四位、出生日期),“担心为了‘防风险’,反而又泄露了新的信息”;还有用户质疑服务的“实际效用”,“若信息已被用于诈骗,信用监测只能‘事后补救’,无法挽回损失”。
历史漏洞频发:Petco数据安全问题引监管关注
此次泄露并非Petco首次陷入数据安全争议。回溯过往,该公司在用户信息保护上多次“掉链子”:
-
2020年,Petco旗下订阅制宠物用品平台PupBox因网站“未授权插件”漏洞,导致3万余名用户的姓名、地址、信用卡完整信息(含CVV码)被第三方获取,漏洞存在近6个月后才被发现,Petco迟至事发2个月后才通知用户,最终引发集体诉讼,2021年以“向用户赔偿最高2500美元/人”达成和解;
-
更早前的2004年,美国联邦贸易委员会(FTC)曾指控Petco虚假宣传数据安全——Petco宣称其官网收集的用户信息“已加密且仅用户可见”,但实际通过常见网络攻击即可获取未加密的信用卡信息,最终Petco被要求建立“全面信息安全计划”,并接受长期监管。
cybersecurity 专家指出,Petco此次的“配置失误”漏洞,本质是“安全管理流程缺失”的体现。“软件配置是基础安全工作,只要定期进行漏洞扫描、权限审计就能发现问题,却仍被忽视,说明Petco在数据安全的‘日常维护’上存在严重不足。”艾米丽·陈表示,零售行业因用户数据量大、系统对接复杂(如线上商城、会员系统、第三方支付),本就是数据泄露高发领域,“企业若不重视基础安全,类似事件还会反复发生”。
截至发稿,Petco仅表示已“新增安全技术控制措施”,但未披露具体改进方案。对于用户关心的“是否会启动第三方安全审计”“如何确保未来不再出现配置漏洞”等问题,官方暂无回应。此次事件也为零售企业敲响警钟:在数字化时代,用户数据既是核心资产,也是重大责任,任何“疏忽”都可能引发信任危机与法律风险。
