【量子位 2025年12月8日讯】美国宠物用品零售巨头Petco(佩特科)的用户数据安全危机持续发酵。继上周首次确认发生数据泄露却隐瞒细节后,该公司于12月5日向美国多州总检察长办公室提交的法定文件中披露,此次安全漏洞导致用户姓名、社会保险号(SSN)、驾照号码、银行账户及信用卡信息、出生日期等核心敏感数据外泄。目前,Petco已在加利福尼亚、德克萨斯、马萨诸塞和蒙大拿四州启动用户通知程序,但全美受影响总人数、数据是否被黑客窃取等关键信息仍未公开,引发用户与监管机构的双重质疑。
漏洞根源:软件配置失误致文件“裸奔”,7月已发生却延迟披露
根据加利福尼亚州总检察长办公室公布的Petco用户通知样本,此次数据泄露的直接原因是“某款软件应用的配置设置失误”——该错误导致包含用户敏感信息的文件被意外设置为“公开可访问”状态,任何人通过网络即可查看。Petco在通知中声称,发现问题后“立即采取措施修正配置、移除在线文件访问权限”,并额外部署了未指明具体内容的“安全强化措施”,但未说明漏洞何时被发现、存在多久,也未透露涉事软件的名称及用途。
值得关注的是,另有媒体从监管文件中梳理发现,此次漏洞实际发生于2025年7月,距离Petco首次承认泄露已过去近5个月,距离披露详细信息更是间隔超半年。“长达数月的信息暴露期,意味着用户数据可能已被恶意获取并用于身份盗窃、金融诈骗等犯罪活动。”网络安全公司Mandiant高级研究员艾米丽·陈指出,“配置失误本是可快速修复的低级漏洞,但延迟披露让风险呈几何级放大。”
影响范围:四州用户受损,加州至少500人,赔偿服务地域差异引不满
从Petco提交的多州法定文件来看,此次泄露的影响已覆盖美国西部、南部及东北部多个地区,不同州的受影响人数呈现显著差异:
-
加利福尼亚州:作为Petco的总部所在地及核心市场,该州法律要求企业在泄露影响超500人时必须提交报告,Petco的披露行为本身意味着该州至少有500名用户数据受损,这也是目前已知受影响人数最多的地区;
-
马萨诸塞州与蒙大拿州:文件明确记载两州受影响人数分别为1人和3人,可能与当地用户在Petco系统中存储敏感信息的比例较低有关;
-
德克萨斯州:Petco仅确认发生数据泄露,但未披露具体人数,也未说明是否会像其他三州一样提供赔偿服务。
根据加州法律,当泄露涉及SSN或驾照号码等核心身份信息时,企业必须为受影响用户提供免费信用监控及身份盗窃保护服务。目前Petco已宣布向加州、马萨诸塞州和蒙大拿州的受害者开放此类服务,但德克萨斯州用户是否能享受同等保障仍未明确。“同样是数据泄露受害者,为何会因居住州不同而区别对待?”德克萨斯州用户马克·威尔逊在社交平台X上质疑,“Petco的回应更像是在‘应付法律’,而非真正保护用户权益。”
信息迷雾:总人数、黑客入侵痕迹成谜,官方回避关键问题
截至发稿,Petco仍未公开此次数据泄露的全美受影响总人数。参考该公司2022年披露的“服务超2400万用户”的规模,此次泄露可能波及数万甚至数十万人。TechCrunch记者于12月6日向Petco发言人文图拉·奥尔维拉提出多项关键质询,包括“全美受害者总数”“是否有日志证明黑客访问或窃取数据”“漏洞发现的确切时间”“涉事软件名称及用途”等,但未获得任何回应。
这种信息不透明引发了更广泛的担忧:网络安全专家指出,Petco未证明其具备技术能力判断数据是否被窃取——若仅是文件“公开可访问”但未被下载,用户面临的风险相对可控;但若是已被黑客批量获取,后续的身份诈骗、信用卡盗刷等攻击可能持续爆发。“企业不能只说‘数据泄露了’,却不解释‘数据去哪了’。”隐私保护组织Electronic Frontier Foundation(EFF)律师丽贝卡·威廉姆斯强调,“缺乏技术溯源与风险评估,用户连基本的自我防护方向都找不到。”
此外,此次泄露也并非Petco首次陷入数据安全争议。公开记录显示,该公司2020年曾因未妥善保护用户支付信息被联邦贸易委员会(FTC)调查,2022年又因员工权限管理混乱导致内部数据泄露,此次配置失误再次暴露其“安全管理流于形式”的问题。
用户应对:四步防护降低风险,律师事务所启动集体诉讼调查
针对此次泄露,网络安全专家建议受影响用户立即采取以下措施:
-
核查账户与信用报告:定期查看银行、信用卡账单,确认是否存在不明消费;通过Equifax、Experian、TransUnion三大信用机构获取免费信用报告,排查是否有异常贷款、办卡记录;
-
冻结信用档案:向信用机构申请“信用冻结”,防止他人冒用身份开设新账户,此操作不影响现有信用评分;
-
更换敏感账户密码:若在Petco注册时使用的密码与银行、邮箱等重要账户一致,需立即修改,并启用双因素认证(2FA);
-
警惕诈骗信息:黑客可能利用泄露的个人信息发送“退款通知”“账户异常”等钓鱼邮件或短信,切勿点击不明链接、提供验证码。
与此同时,美国全国性集体诉讼律所Edelson Lechtzin LLP已宣布启动调查,计划代表受影响用户向Petco提起数据隐私诉讼,要求其赔偿身份盗窃导致的经济损失、信用修复费用及精神损害赔偿。“Petco的疏忽让用户暴露在巨大的安全风险中,却始终回避责任、隐瞒信息,这种行为已违反《加州消费者隐私法》(CCPA)及《公平信用报告法》(FCRA)。”该律所合伙人马克·埃德森在声明中表示。
目前,Petco尚未回应集体诉讼相关问题,也未公布后续数据安全整改的具体时间表。随着监管压力与用户不满情绪的升级,这家宠物零售巨头能否重建信任,仍需等待更多实质性行动。
