Mais de 20 milhões de dados de clientes do BigBasket expostos no DarkWeb

BigBasket (Innovative Retail Concepts Private Limited) é a maior loja de alimentos e mercearia online da Índia. É financiado pelo Alibaba Group, Mirae Asset-Naver Asia Growth Fund e, portanto, pelo grupo CDC do governo do Reino Unido.

“Recentemente, o BigBasket foi vítima de uma violação de dados”, relatou Cyble. Cyble indexou as informações violadas em AmiBreached.com.

A equipe de pesquisa do Cybel encontrou o banco de dados da Big Basket à venda em um mercado de crimes cibernéticos durante o monitoramento de rotina da Dark Web, sendo vendido por mais de $ 40.000.

O vazamento contém uma parte do banco de dados; com o nome da tabela ‘membro_membro’. O tamanho do arquivo SQL é de aproximadamente 15 GB, contendo cerca de 20 milhões de dados do usuário, e está sendo vendido por cerca de Rs 30 lakh.

O banco de dados consiste em nomes, IDs de e-mail, hashes de senha (OTPs potencialmente hash), números de contato (celular e telefone), endereços, data de nascimento, localização e endereços IP de login, entre muitos outros. Embora Cyble tenha mencionado “senhas”, a empresa usa uma senha de uso único enviada por SMS que muda sempre que um usuário faz login.

Com base nos registros vazados, parece que a violação ocorreu em 14 de outubro de 2020.

O Cyble está divulgando o suposto vazamento de dados no interesse da população impactada.

Pessoas preocupadas com a exposição de suas informações podem se registrar na plataforma de notificação e monitoramento de violação de dados da Cyble , AmiBreached.com , para determinar os riscos sem nenhum custo.

A linha do tempo dos eventos:

14 de outubro de 2020 – A suposta violação ocorreu (captura de tela abaixo)
30 de outubro de 2020 – Cyble detectou a violação
31 de outubro de 2020 – Cyble validou a violação por meio da validação dos dados vazados com usuários / informações do BigBasket
1 de novembro de 2020 – Cyble divulgou a violação à gestão do BigBasket
7 de novembro de 2020 – Divulgação pública