Oto i on: kolejny gigant branży pet care w tarapatach. Choć Petco utrzymuje pozycję lidera na rynku produktów i usług dla zwierząt, ostatni tydzień przyniósł im niemały kryzys komunikacyjny i techniczny. Wyciek danych osobowych klientów to zawsze zimny prysznic dla każdego, kto ufał, że jego prywatność jest u nich bezpieczna.
Kiedy „akcesorium” dla zwierzaka okazuje się luką w zabezpieczeniach
Petco, potentat serwujący wszystko, czego potrzebują nasi czworonożni przyjaciele – od karmy po usługi weterynaryjne – oficjalnie potwierdził, że padł ofiarą naruszenia bezpieczeństwa danych. Początkowo firma była dość lakoniczna, nie precyzując, co dokładnie wyciekło. Jednak standardy regulacyjne i wymogi prawne szybko zmusiły ich do ujawnienia znacznie bardziej niepokojących szczegółów. Jak to się stało, że dane miliona klientów mogły znaleźć się w niepowołanych rękach? To klasyczny przykład tego, jak zaniedbanie w jednym, z pozoru prostym, aspekcie infrastruktury IT może lawinowo wpłynąć na wizerunek i bezpieczeństwo konsumentów.
Pełna lista „smakołyków” dla hakerów: co wyciekło?
Gdyby to była karma dla psa, byłaby to chyba wersja „premium”. W prawnie wymaganym zgłoszeniu do biura prokuratora generalnego Teksasu Petco ujawniło, że poszkodowani klienci muszą teraz zmierzyć się z ryzykiem kradzieży tożsamości. Wśród ujawnionych informacji znalazły się dane absolutnie wrażliwe:
- Imiona i nazwiska
- Numery Ubezpieczenia Społecznego (Social Security numbers)
- Numery praw jazdy
- Informacje finansowe, w tym numery kont, a także numery kart kredytowych lub debetowych
- Daty urodzenia
To nie są byle jakie dane, to cyfrowy ekwiwalent otwarto drzwi do życia finansowego i osobistego. Petco złożyło podobne, choć zróżnicowane pod względem skali, zawiadomienia w Kalifornii, Massachusetts i Montanie. Informacja o niewielkiej liczbie poszkodowanych w tych dwóch ostatnich stanach (odpowiednio jeden i trzech rezydentów) może budzić zdziwienie, zwłaszcza biorąc pod uwagę, że firma w 2022 roku obsługiwała ponad 24 miliony klientów.
Tajemnice Calabasas: dlaczego Kalifornia milczy?
Najbardziej intrygujący jest przypadek Kalifornii. W tym stanie obowiązuje wymóg zgłaszania naruszeń, jeśli dotyczy ono co najmniej 500 mieszkańców. Brak precyzyjnej liczby ofiar w tym stanie sugeruje, że wyciek objął znacznie więcej osób, niż by się mogło wydawać, ale firma unika podania twardych liczb.
Kiedy TechCrunch próbował drążyć temat, dopytując o całkowitą liczbę poszkodowanych, istnienie logów pozwalających ocenić, czy dane rzeczywiście zostały skradzione, a także o to, kiedy i jak zidentyfikowano konkretny problem techniczny, rzecznik firmy, Ventura Olvera, pozostał zdystansowany. Brak odpowiedzi na tak fundamentalne pytania rodzi uzasadnione podejrzenia o niepełną przejrzystość w trakcie zarządzania kryzysem.
Diabeł tkwił w ustawieniu: jak doszło do „wypadku”?
Choć firma milczy w kwestiach detali technicznych, próbka listu wysyłanego do klientów w Kalifornii, opublikowana przez tamtejszego prokuratora generalnego, rzuca nieco światła na źródło problemu. Okazuje się, że winę ponosi błąd konfiguracyjny w oprogramowaniu.
W liście tym stwierdzono, że Petco odkryło problem z „ustawieniem w jednej z naszych aplikacji oprogramowania, które nieumyślnie umożliwiło dostęp do pewnych plików online”. Firma zapewnia, że „natychmiast podjęła kroki w celu skorygowania problemu i usunięcia plików z dalszego dostępu online”. Następnie „skorygowano” to ustawienie i wdrożono „dodatkowe środki bezpieczeństwa”. Jest to klasyczna historia: błąd ludzki lub zaniedbanie w procedurze audytu deploymentu (wdrażania kodu). W świecie nowoczesnego IT, gdzie mikroserwisy i konteneryzacja są normą, jeden źle ustawiony parametr w pliku konfiguracyjnym może otworzyć drzwi dla całego świata.
W ramach rekompensaty za straty, Petco oferuje bezpłatny monitoring kredytowy i usługi ochrony przed kradzieżą tożsamości ofiarom w Kalifornii, Massachusetts i Montanie. Prawo kalifornijskie wymaga tego, gdy naruszone zostaną numery ubezpieczenia społecznego lub prawa jazdy. Pozostaje kwestią otwartą, czy klienci z Teksasu, którzy również zostali dotknięci incydentem, otrzymają ten sam pakiet ochronny.
