BigBasket bekræfter et databrud, der måske har påvirket 20 millioner kunder
Den indiske online-købmand BigBasket informerede kunderne om et potentielt databrud. Ifølge virksomheden vurderes og vurderes det nøjagtige omfang og konsekvenser af overtrædelsen.
BigBasket oplyste endvidere, at de havde indgivet en formel klage til Bangalore Cyber Crime Cell - en institution, der er ansvarlig for håndtering af cyberkriminalitet i Bangalore City. Mærkeligt nok var Bangalore Cyber Crime Cell ikke i stand til at bekræfte nogensinde at have modtaget en klage fra BigBasket.
En virksomhedsrepræsentant sagde, at BigBasket ikke gemmer økonomiske data, herunder kreditkortstrenge, og mener, at disse kundedata er sikre. BigBasket gemmer e-mail-id'er, telefonnumre og leveringsadresser. Alle disse oplysninger kunne potentielt være i hænderne på dårlige skuespillere, der ulovligt fik adgang til dem.
Et cybersikkerhedsfirma var den part, der opdagede overtrædelsen og advarede BigBasket om problemet. Det amerikanske firma kaldes Cyble erklærede, at overtrædelsen oprindeligt blev opdaget den 30. oktober, selvom det skete 2 uger før. Cyble's fund blev rapporteret til BigBasket bare en dag senere.
Cybersikkerhedsfirmaet opdagede BigBaskets kundedatabase, der blev udbudt til salg på et mørkt webhackerforum til $ 40 tusind. Denne pris ville netto den potentielle køber omkring 20 millioner databaseoptegnelser, inklusive kundenavne, hash-adgangskoder, virkelige verdensadresser og IP-adresser, der bruges til at få adgang til BigBaskets tjenester. Det er en betydelig del af personligt identificerbare oplysninger om hver enkelt bruger.
BigBasket betjener over to dusin byer og mindre byer i Indien, så disse 20 millioner kundeoptegnelser er sandsynligvis godt spredt med hensyn til territorier.
Som med alle databrud og databaselækager kan de berørte brugere ikke gøre andet end at ændre deres adgangskoder og håbe på det bedste. Selvom legitimationsfyldning kan forhindres ved at bruge forskellige adgangskoder på forskellige websteder og tjenester, er der desværre intet, som en bruger kan gøre, når deres navn, e-mail og adresse bliver stjålet og lækket online.