BigBasket確認可能影響2000萬客戶的數據洩露
印度在線雜貨店BigBasket通知客戶潛在的數據洩露事件。據該公司稱,該違規行為的確切範圍和後果仍在評估中。
BigBasket進一步表示,他們已向負責處理班加羅爾市網絡犯罪的機構班加羅爾網絡犯罪小組提出了正式投訴。奇怪的是,班加羅爾網絡犯罪小組無法證實曾經收到BigBasket的投訴。
公司代表說,BigBasket不存儲包括信用卡字符串在內的財務數據,並認為此客戶數據是安全的。 BigBasket確實存儲電子郵件ID,電話號碼和送貨地址。所有這些信息都可能由非法訪問者的不當行為者掌握。
一家網絡安全公司是發現此漏洞並向BigBasket發出警報的一方。一家名為Cyble的美國公司表示,該漏洞最初於10月30日發現,即使該漏洞發生在2週前。一天后,Cyble的發現被報告給BigBasket。
這家網絡安全公司發現BigBasket的客戶數據庫在一個黑暗的網絡黑客論壇上以4萬美元的價格出售。這個價格將使潛在買家獲得大約2000萬個數據庫記錄,包括客戶名稱,哈希密碼,真實地址和用於訪問BigBasket服務的IP地址。那是每個用戶上大量可識別個人身份的信息。
BigBasket服務於印度的十二個城市和較小的城鎮,因此按地區劃分,這2000萬條客戶記錄可能分佈良好。
與所有數據洩露和數據庫洩漏一樣,受影響的用戶除了更改密碼並希望獲得最佳效果外,什麼也不能做。即使可以通過在不同的站點和服務上使用不同的密碼來防止憑據塞滿,可悲的是,當用戶的姓名,電子郵件和地址被盜並在網上洩露時,用戶也無能為力。