BigBasket bestätigt einen Datenverstoß, von dem 20 Millionen Kunden betroffen sein könnten
Das indische Online-Lebensmittelgeschäft BigBasket informierte Kunden über einen möglichen Datenverstoß. Nach Angaben des Unternehmens werden Umfang und Folgen des Verstoßes noch geprüft und bewertet.
BigBasket gab weiter an, dass sie eine formelle Beschwerde bei der Bangalore Cyber Crime Cell eingereicht hatten - einer Institution, die für den Umgang mit Cyberkriminalität in Bangalore City verantwortlich ist. Seltsamerweise konnte die Bangalore Cyber Crime Cell nicht bestätigen, jemals eine Beschwerde von BigBasket erhalten zu haben.
Ein Unternehmensvertreter sagte, dass BigBasket keine Finanzdaten, einschließlich Kreditkartenzeichenfolgen, speichert und glaubt, dass diese Kundendaten sicher sind. BigBasket speichert E-Mail-IDs, Telefonnummern und Lieferadressen. All diese Informationen könnten möglicherweise in den Händen von schlechten Schauspielern liegen, die illegal darauf zugegriffen haben.
Eine Cyber-Sicherheitsfirma war die Partei, die den Verstoß entdeckte und BigBasket auf das Problem aufmerksam machte. Die US-Firma namens Cyble gab an, dass der Verstoß ursprünglich am 30. Oktober entdeckt wurde, obwohl er zwei Wochen zuvor aufgetreten war. Cybles Entdeckung wurde BigBasket nur einen Tag später gemeldet.
Die Cyber-Sicherheitsfirma entdeckte die Kundendatenbank von BigBasket, die in einem dunklen Web-Hacker-Forum für 40.000 US-Dollar zum Verkauf angeboten wurde. Dieser Preis würde dem potenziellen Käufer rund 20 Millionen Datenbankeinträge einbringen, darunter Kundennamen, Hash-Passwörter, reale Adressen und IP-Adressen, die für den Zugriff auf die Dienste von BigBasket verwendet werden. Das ist ein bedeutender Teil der persönlich identifizierbaren Informationen über jeden einzelnen Benutzer.
BigBasket bedient über zwei Dutzend Städte und kleinere Städte in Indien, sodass diese 20 Millionen Kundendatensätze wahrscheinlich territorial gut verteilt sind.
Wie bei allen Datenverletzungen und Datenbanklecks können die betroffenen Benutzer nur ihre Passwörter ändern und auf das Beste hoffen. Selbst wenn das Füllen von Anmeldeinformationen durch die Verwendung unterschiedlicher Kennwörter auf verschiedenen Websites und Diensten verhindert werden kann, kann ein Benutzer leider nichts tun, wenn sein Name, seine E-Mail-Adresse und seine Adresse online gestohlen und durchgesickert sind.