【量子位 2025年12月11日讯】美国宠物健康巨头Petco再陷数据安全危机。12月10日,据TechCrunch独家报道,Petco旗下兽医服务品牌Vetco的网站存在严重安全漏洞,导致用户及宠物的海量敏感信息暴露在公开网络中,任何人无需登录即可下载。目前Petco已紧急下线Vetco相关网站板块,但此次泄露波及范围或达数百万用户,且这已是Petco 2025年遭遇的第三次数据安全事件,引发公众对宠物服务行业信息保护能力的质疑。
漏洞致信息“裸奔”:从人类隐私到宠物病历全暴露
此次Vetco网站的安全漏洞属于典型的“不安全直接对象引用(IDOR)”——由于系统未对文件访问权限设置有效校验,用户只需修改网页地址中的“客户唯一识别码”,就能直接从服务器调取他人数据。更危险的是,Vetco的客户识别码为连续编号,意味着攻击者可通过“逐个修改数字”的简单操作,批量获取大量用户信息。
TechCrunch在调查中发现,暴露的文件包含极其详尽的敏感内容,涵盖“人类+宠物”双重维度:
-
用户个人信息:姓名、家庭住址、电子邮箱、手机号码等基础隐私,以及兽医服务消费记录(含服务价格、支付方式)、签署的医疗同意书扫描件(含手写签名)、服务诊所位置与接诊兽医姓名;
-
宠物医疗数据:宠物姓名、品种、性别、年龄、出生日期、芯片编号(若已注册),还有完整的医疗档案——包括就诊摘要、诊断报告、疫苗接种记录、处方药明细,甚至血压、体重等实时生理指标。
更令人担忧的是,至少有一份2020年中期的客户记录已被谷歌搜索引擎抓取并索引,任何人通过关键词搜索即可找到。TechCrunch于12月5日(周五)发现该漏洞并通知Petco,但公司直至12月9日(周二)才在媒体附上暴露文件后正式承认数据泄露,期间漏洞已存在数天未知风险窗口。
2025年第三次泄密:Petco安全防护屡现漏洞
此次Vetco数据泄露并非Petco首次陷入安全危机,2025年以来,该公司已连续发生三起信息安全事件,且每次漏洞类型与影响范围各有不同:
-
年初:遭黑客组织勒索:与“Scattered Lapsus$ Hunters”黑客团体有关的攻击者,入侵Petco存储在Salesforce云服务器的客户数据库,窃取大量信息后索要赎金,威胁不付款就公开数据;
-
9月:软件设置失误致敏感信息外泄:Petco自查发现某款软件“设置不当”,导致包含用户社保号码、驾照信息、银行卡号在内的金融与身份敏感数据可被公开访问,但公司未披露具体影响人数,仅以“未提供细节”搪塞;
-
12月:Vetco网站IDOR漏洞:即此次事件,漏洞存在时间不明,但从谷歌索引的2020年文件推测,风险可能已潜伏多年,且波及用户规模或达数百万(TechCrunch通过间隔10万编号抽样验证,发现连续客户ID均能访问数据)。
面对频发的安全问题,Petco发言人Ventura Olvera仅在回应中表示“已实施并将继续采取额外措施加强系统安全”,却未提供任何具体措施证据,也拒绝说明是否具备技术能力(如服务器日志)排查数据是否已被窃取、窃取规模有多大。这种“模糊回应”引发用户不满,有宠物主人在社交平台质疑:“连基本的访问权限都没做好,怎么相信后续的安全承诺?”
行业警示:宠物医疗数据安全易成“盲区”
此次事件暴露出宠物服务行业普遍存在的信息安全短板——相较于人类医疗数据受严格法规保护(如美国HIPAA法案),宠物医疗数据的监管与防护常被企业忽视,成为数据安全“灰色地带”。
从实际风险来看,宠物相关信息的泄露危害远超想象:一方面,用户家庭地址、联系方式等隐私泄露可能导致电信诈骗、上门骚扰;另一方面,宠物医疗记录若被滥用,可能影响宠物保险投保、后续诊疗(如病史被篡改),甚至被不法分子用于“精准营销”(如推送高价宠物用品、虚假医疗服务)。
参照MBA智库等机构提出的“数据泄露应对准则”,Petco当前的处理仍存在明显不足:未及时向受影响用户通报风险、未公开漏洞原因与整改细节、未提供用户自查与防护建议(如修改密码、监控账户异常)。而从行业层面看,此次事件也为宠物服务企业敲响警钟——随着宠物经济规模扩大(2025年美国宠物市场规模预计超1500亿美元),用户对“宠物隐私”的重视程度已大幅提升,企业若仍以“非人类数据”为由轻视防护,终将付出声誉与市场信任的代价。
目前,美国多州监管机构已开始关注此次事件,加利福尼亚州更是依据当地法律要求Petco“若影响本州用户超500人,必须公开披露”。后续Petco是否会面临监管处罚、如何补偿受影响用户,以及能否真正建立有效的安全防护体系,量子位将持续追踪。
