2000万人分のインド食料品配達BigBasketのユーザーデータがオンライン公開か

今回は「2000万人分のインド食料品配達BigBasketのユーザーデータがオンライン公開か」についてご紹介します。

関連ワード （BigBasket、インド、データ漏洩、ハッカー等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

インドの食料品宅配サービス会社であるBigBasketがデータ流出を確認してから数カ月後、、同社のユーザーと推測される約2000万人のデータベースが著名なサイバー犯罪フォーラムに流出した。

このデータベースにはユーザーのメールアドレス、電話番号、住所、スクランブルされたパスワード、生年月日、サービスとのやり取りの記録が含まれる。TechCrunchはこのデータベースに掲載されている一部の顧客の詳細（著者を含む）を確認した。

TechCrunchはBigBasketの共同創設者らにコメントを求めたが、回答は得られなかった。

Infamous threat actor "ShinyHunters" just leaked the database of "BigBasket, a famous Indian ?? online grocery delivery service. (@bigbasket_com)

20,000,000+ clients affected and information such as emails, names, hashed passwords, birthdates and phone numbers were leaked. pic.twitter.com/tD5TMxNkH7

— Alon Gal (Under the Breach) (@UnderTheBreach) April 25, 2021

BigBasketは2020年11月、ハッカーが同プラットフォームから2000万人分の顧客情報を盗み出したとの報告を受け、データ侵害があったことを認めた。

TechCrunchはBigBasketの共同設立者の1人に、このデータ侵害を顧客に開示したかどうかを確認した。

ShinyHuntersと名乗るハッカーは先週末、著名なサイバー犯罪フォーラムでBigBasketのデータベースとされる情報を公開し、誰でもダウンロードできるようにした。

フォーラムの新しい投稿では、少なくとも2人の攻撃者がハッシュ化されたパスワードを解読し、それを売りに出したと主張した。ShinyHuntersにもコメントを求めたが、回答は得られていない。

今回の事件は、インドのコングロマリットであるTata Group（タタ・グループ）がインドの新興企業であるBigBasketを18億ドル（約1900億円）以上の価値で買収することに合意してから数週間後のことだった。この買収案は現在、インドの規制当局の承認を待っている。

関連記事：インドのTata Groupが食料品宅配BigBasketの過半数株式を取得に合意、アリババは撤退か

画像クレジット：Samyukta Lakshmi / Bloomberg / Getty Images

【原文】

A database of about 20 million alleged BigBasket users has leaked on a well-known cybercrime forum, months after the Indian grocery delivery startup confirmed it had faced a data breach.

The database includes users’ email address, phone number, address, scrambled password, date of birth, and scores of interactions they had with the service. TechCrunch confirmed details of some customers listed in the database — including those of the author.

A BigBasket spokesperson shared the following statement, “This article / social media post refers to an alleged data breach in Nov-2020 and not something that has happened recently. The reason we know it’s not recent is that the article /social media post mentions the release of hashed passwords. We had eliminated all hashed passwords from our system and moved to a secure OTP-based authentication mechanism quite some time back. Also, our site does not collect or store any sensitive personal data of customers like credit card details. So customer data continues to be safe and no further action needs to be taken by customers.”

TechCrunch has asked BigBasket if the startup has any words for the personal details — email address, physical address, phone number etc — of the users that has leaked.

The startup confirmed in November last year that it had suffered a data breach after reports emerged that hackers had siphoned off information of 20 million customers from the platform.

TechCrunch has asked one BigBasket co-founder whether the startup ever disclosed the data breach to customers.

A hacker who goes by the name ShinyHunters published the alleged BigBasket database — and made it available for anyone to download — on a popular cybercrime forum over the weekend.

In newer posts on the forum, at least two threat actors claimed that they had decoded the hashed passwords and had put them up for sale. ShinyHunters didn’t immediately respond to a text requesting comment.

The incident comes weeks after Indian conglomerate Tata Group agreed to acquire BigBasket, valuing the Indian startup at over $1.8 billion. The acquisition proposal is currently awaiting approval by the Indian regulator.

The story was updated with BigBasket’s statement. 

（文：Manish Singh、翻訳：塚本直樹 / Twitter）