BigBasket potwierdza naruszenie danych, które mogło mieć wpływ na 20 milionów klientów
Indyjski sklep internetowy BigBasket poinformował klientów o potencjalnym wycieku danych. Według firmy dokładny zakres i konsekwencje naruszenia są nadal oceniane i oceniane.
BigBasket stwierdził ponadto, że złożył formalną skargę do Bangalore Cyber Crime Cell - instytucji odpowiedzialnej za zwalczanie cyberprzestępczości w Bangalore City. Co ciekawe, komórka ds. Cyberprzestępczości z Bangalore nie była w stanie potwierdzić otrzymania skargi od BigBasket.
Przedstawiciel firmy powiedział, że BigBasket nie przechowuje danych finansowych, w tym ciągów kart kredytowych, i uważa, że te dane klientów są bezpieczne. BigBasket przechowuje identyfikatory e-mail, numery telefonów i adresy dostawy. Wszystkie te informacje mogą potencjalnie znaleźć się w rękach złych aktorów, którzy uzyskali do nich dostęp nielegalnie.
Firma zajmująca się bezpieczeństwem cybernetycznym była stroną, która odkryła naruszenie i powiadomiła BigBasket o tym problemie. Amerykańska firma Cyble stwierdziła, że włamanie zostało odkryte 30 października, mimo że miało miejsce 2 tygodnie wcześniej. Odkrycie Cyble'a zostało zgłoszone BigBasket zaledwie dzień później.
Firma zajmująca się bezpieczeństwem cybernetycznym odkryła, że baza danych klientów BigBasket została wystawiona na sprzedaż na ciemnym forum hakerów za 40 tysięcy dolarów. Cena ta zapewni potencjalnemu nabywcy około 20 milionów rekordów baz danych, w tym nazw klientów, haszów haseł, rzeczywistych adresów i adresów IP używanych do uzyskiwania dostępu do usług BigBasket. To znaczna porcja informacji umożliwiających identyfikację każdego użytkownika.
BigBasket obsługuje ponad dwa tuziny miast i mniejszych miast w Indiach, więc te 20 milionów rekordów klientów jest prawdopodobnie dobrze rozłożonych pod względem terytorialnym.
Podobnie jak w przypadku wszystkich naruszeń danych i wycieków baz danych , poszkodowani użytkownicy nie mogą zrobić nic poza zmianą haseł i nadzieją na najlepsze. Nawet jeśli można zapobiec fałszowaniu danych uwierzytelniających, używając różnych haseł w różnych witrynach i usługach, niestety użytkownik nie może nic zrobić, gdy jego imię i nazwisko, adres e-mail i adres zostaną skradzione i ujawnione online.