De Amerikaanse dierenwinkelketen Petco heeft de gegevens van mogelijk miljoenen klanten gelekt via een kwetsbaarheid die wordt aangeduid als IDOR. Dat laat TechCrunch op basis van eigen onderzoek weten. De gelekte gegevens bestaan onder andere uit namen, adresgegevens, e-mailadressen, telefoonnummers, uitgevoerd onderzoek naar huisdieren en handtekeningen van eigenaren.

IDOR staat voor Insecure Direct Object Reference (IDOR) en doet zich bijvoorbeeld voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Zo kan een gebruiker door het aanpassen van bepaalde data toegang tot de gegevens van andere gebruikers krijgen. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor. Het probleem is daarnaast al decennia bekend.

Petco heeft meer dan vijftienhonderd locaties in de Verenigde Staten en biedt onder de naam Vetco ook medische dierenzorg. Klanten van Vetco kunnen via een online portaal inloggen en informatie over hun huisdieren opvragen. Deze informatie werden via een pdf-document weergegeven en bevatte naast gegevens van het huisdier ook allerlei informatie over de eigenaar. De pagina voor het genereren van pdf-documenten was zonder wachtwoord voor iedereen op internet toegankelijk.

Door in de adresbalk het klantnummer aan te passen kon informatie van de betreffende klant worden opgevraagd. De klantnummers van Vetco bleken opeenvolgend te zijn. Door een getal in de adresbalk te wijzigen kon zo informatie van allerlei andere klanten worden bekeken. TechCrunch deed een steekproef om te zien hoeveel records er mogelijk zijn gelekt en stelt op basis van klantnummers dat het mogelijk om miljoenen klanten gaat. Na te zijn ingelicht besloot Petco het klantenportaal offline te halen. Eerder dit jaar kreeg Petco met een ander datalek te maken, waardoor gegevens van klanten op straat waren beland.