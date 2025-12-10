De Amerikaanse dierenwinkelketen Petco heeft de gegevens van mogelijk miljoenen klanten gelekt via een kwetsbaarheid die wordt aangeduid als IDOR. Dat laat TechCrunch op basis van eigen onderzoek weten. De gelekte gegevens bestaan onder andere uit namen, adresgegevens, e-mailadressen, telefoonnummers, uitgevoerd onderzoek naar huisdieren en handtekeningen van eigenaren.
IDOR staat voor Insecure Direct Object Reference (IDOR) en doet zich bijvoorbeeld voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Zo kan een gebruiker door het aanpassen van bepaalde data toegang tot de gegevens van andere gebruikers krijgen. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor. Het probleem is daarnaast al decennia bekend.
Petco heeft meer dan vijftienhonderd locaties in de Verenigde Staten en biedt onder de naam Vetco ook medische dierenzorg. Klanten van Vetco kunnen via een online portaal inloggen en informatie over hun huisdieren opvragen. Deze informatie werden via een pdf-document weergegeven en bevatte naast gegevens van het huisdier ook allerlei informatie over de eigenaar. De pagina voor het genereren van pdf-documenten was zonder wachtwoord voor iedereen op internet toegankelijk.
Door in de adresbalk het klantnummer aan te passen kon informatie van de betreffende klant worden opgevraagd. De klantnummers van Vetco bleken opeenvolgend te zijn. Door een getal in de adresbalk te wijzigen kon zo informatie van allerlei andere klanten worden bekeken. TechCrunch deed een steekproef om te zien hoeveel records er mogelijk zijn gelekt en stelt op basis van klantnummers dat het mogelijk om miljoenen klanten gaat. Na te zijn ingelicht besloot Petco het klantenportaal offline te halen. Eerder dit jaar kreeg Petco met een ander datalek te maken, waardoor gegevens van klanten op straat waren beland.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.