发布时间:2021-04-30 07:42:22,来源:FreeBuf
在印度疫情反扑,连续3日新增新冠确诊病例超30万的情况下,网络攻击者也没有放过印度。
疫情期间成为大家线上买菜渠道的生鲜电商BigBasket,遭遇了大型数据泄露事件。4月25日,臭名昭著的数据泄露售卖组织ShinyHunters在网络免费公布了BigBasket的数据库,该数据库涉及2000万用户的信息,包括电子邮件、姓名、生日、电话号码、登录IP地址、位置和哈希密码等。
数据库去年10月被窃取,今年4月被公开。ShinyHunters使用SHA1算法对密码进行哈希处理,成员声称已经破解了数据库内的200万个密码。另一位成员称,有70万名用户使用“password”作为密码。BigBasket首席执行官Hari menon确认了该事件的真实性,表示已经向网络犯罪警察提起了诉讼,“研究人员要求我们不要透露任何细节,因为可能会妨碍调查。”
这起数据泄露事件发生在2020年10月30日,当时BigBasket向彭博社证实,ShinyHunter曾试图私下出售窃取的数据库。据印度《金融时报》报道,一名黑客欲将BigBasket的数据以300万卢比的价格出售。网络情报公司Cyble称,BigBasket数据库在网络犯罪市场售价超过4万美元,其SQL文件大小约为15GB,包含2000万用户数据。
BigBasket曾表态,客户的隐私和保密是重中之重,它不存储任何财务数据,包括信用卡号码等。安全人员建议,BigBasket用户应该立即更改密码,如果其他网站使用了相同密码也需尽快更改。
之前,ShinyHunters曾主导过其他几次大型数据泄露,包括印尼电商Tokopedia、T恤众筹网站TeeSpring、美国独立设计师交易平台Minted、照片打印公司Chatbooks、金融科技公司Dave、以色列视频制作服务公司Promo、教育网站Mathway、加拿大写作博客平台Wattpad等。这些泄漏数据通常在暗网交易或私下出售,售价500 美元至10 万美元不等。有时,ShinyHunters也会免费公开这些窃取的数据。ShinyHunters表示:“我现在已经赚够了钱,所以这次我的泄漏是为了大家的利益。很明显,有些人有点不高兴,因为他们几天前向经销商支付了费用,但我不在乎。”
Bigbasket的业务主打生鲜食品和商超杂货在线配送,旗下拥有诸多品牌,如Fresho(主要配送果蔬、肉类和烘烤食品)、Royal(主要配送主食、茶饮和麦片)及Tasties(主要配送零食)等。Crunbase资料显示,阿里巴巴集团曾领投BigBasket的数轮融资,累计注资4次。最新的一笔注资发生在2020年4月15日,阿里巴巴集团领投了该公司5180万美元的投资。
受疫情影响,印度用户线上订购生活用品的需求飙升,此类电商平台迎来巨大的发展契机。Bigbasket在疫情期间大规模扩张了自身业务,收购了两家牛奶配送初创公司Milkbasket和DailyNinja。但因供货短缺、配送延迟的问题,消费者对电商平台意见不断。随着印度新一轮疫情的爆发,此类为用户提供无接触式生活必需品配送服务的公司也面临巨大挑战。
参考链接:
1.https://www.bleepingcomputer.com/news/security/hacker-leaks-20-million-alleged-bigbasket-user-records-for-free/
2.https://economictimes.indiatimes.com/tech/startups/bigbasket-faces-potential-data-breach-details-of-2-crore-users-put-on-sale-on-dark-web/articleshow/79109124.cms
3.Bigbasket faces potential data breach; details of 2 crore users up for sale on dark web (yourstory.com)