Selon TechCrunch, Petco a indiqué qu’une exposition de données est survenue à cause d’une erreur dans une application, et que l’entreprise est en train de notifier les victimes dont les données ont été affectées.

Petco confirme une fuite massive de données sensibles après une mauvaise configuration applicative

1. Contexte

Petco, géant américain des produits et services pour animaux (24+ millions de clients en 2022), a confirmé une violation de données ayant exposé des informations personnelles.
D’abord vague dans ses premières communications, l’entreprise a détaillé la nature des données compromises dans les notifications officielles adressées à plusieurs États.

2. Nature des données compromises

Dans les déclarations légales déposées au Texas, en Californie, au Massachusetts et au Montana, Petco indique que les données exposées incluent :

  • Nom complet
  • Numéro de sécurité sociale (SSN)
  • Numéro de permis de conduire
  • Informations financières : numéros de compte bancaire, carte de crédit/débit
  • Date de naissance

➡️ Il s’agit d’une exposition de données hautement sensibles, ouvrant la voie à usurpation d’identité, fraude bancaire et création de comptes frauduleux.

3. Ampleur de l’incident

  • Petco ne communique aucun nombre total de victimes.
  • En Californie, l’obligation de notification ne s’applique qu’au-delà de 500 résidents affectés → la fuite y dépasse donc ce seuil.
  • Massachusetts : 1 personne affectée
  • Montana : 3 personnes affectées
  • Texas : nombre non communiqué

🎯 L’absence totale de chiffres nationaux laisse entendre une fuite potentiellement significative.

4. Cause de l’incident

Selon la lettre envoyée aux clients :

« Un paramètre au sein d’une de nos applications logicielles a accidentellement permis à certains fichiers d’être accessibles en ligne. »

  • Il ne s’agit donc pas, selon Petco, d’une intrusion externe mais d’une erreur de configuration (misconfiguration).
  • Les fichiers exposés ont été retirés dès détection.
  • Des « mesures de sécurité supplémentaires » ont été annoncées, sans précision.

Petco ne répond toujours pas aux questions clés :

  • Volume total de données exposées
  • Existence de preuves d’accès ou d’exfiltration
  • Date exacte de découverte
  • Nom de l’application défaillante

5. Réponse de l’entreprise

  • Petco propose des services gratuits de surveillance de crédit et d’identité (obligatoires si SSN ou permis compromis dans certains États).
  • Ces services sont proposés en Californie, au Massachusetts et au Montana.
  • Aucun détail sur une éventuelle offre pour les victimes situées au Texas.

Il s’agit d’un article de presse spécialisé visant à informer sur un incident d’exposition de données chez Petco.

🔗 Source originale : https://techcrunch.com/2025/12/08/petcos-security-lapse-affected-customers-ssns-drivers-licenses-and-more/