BigBasket bevestigt een gegevensinbreuk die mogelijk 20 miljoen klanten heeft getroffen
De Indiase online supermarkt BigBasket informeerde klanten over een mogelijke datalek. Volgens het bedrijf worden de exacte omvang en gevolgen van de inbreuk nog beoordeeld en geëvalueerd.
BigBasket verklaarde verder dat ze een formele klacht hadden ingediend bij de Bangalore Cyber Crime Cell - een instelling die verantwoordelijk is voor de aanpak van cybercriminaliteit in Bangalore City. Vreemd genoeg kon de Cyber Crime Cell in Bangalore niet bevestigen dat hij ooit een klacht van BigBasket had ontvangen.
Een bedrijfsvertegenwoordiger zei dat BigBasket geen financiële gegevens opslaat, inclusief creditcardreeksen, en is van mening dat deze klantgegevens veilig zijn. BigBasket slaat e-mail-ID's, telefoonnummers en afleveradressen op. Al deze informatie kan mogelijk in handen zijn van slechte acteurs die er illegaal toegang toe hebben gekregen.
Een cybersecuritybedrijf was de partij die de inbreuk ontdekte en BigBasket op de hoogte bracht van het probleem. Het Amerikaanse bedrijf Cyble heet en verklaarde dat de inbreuk aanvankelijk op 30 oktober werd ontdekt, hoewel deze twee weken eerder plaatsvond. Cyble's bevinding werd slechts een dag later aan BigBasket gemeld.
Het cyberbeveiligingsbedrijf ontdekte dat de klantendatabase van BigBasket te koop werd aangeboden op een darkweb-hackerforum voor $ 40 duizend. Deze prijs zou de potentiële koper ongeveer 20 miljoen databaserecords opleveren, inclusief klantnamen, hashes-wachtwoorden, echte adressen en IP-adressen die worden gebruikt om toegang te krijgen tot de services van BigBasket. Dat is een aanzienlijk deel van de persoonlijk identificeerbare informatie over elke afzonderlijke gebruiker.
BigBasket bedient meer dan twee dozijn steden en kleinere steden in India, dus die 20 miljoen klantrecords zijn waarschijnlijk goed verspreid in termen van territoria.
Zoals bij alle datalekken en databaselekken , kunnen de getroffen gebruikers niets anders doen dan hun wachtwoorden wijzigen en er het beste van hopen. Zelfs als het opvullen van inloggegevens kan worden voorkomen door verschillende wachtwoorden op verschillende sites en services te gebruiken, is er helaas niets dat een gebruiker kan doen als zijn naam, e-mailadres en adres worden gestolen en online wordt gelekt.