Aktualizácia: OnePlus vo svojom e-shope vypol možnosť platiť kreditnými kartami. Ostáva už len možnosť platiť PayPalom, čo sa stalo z dôvodu zneužitia platobných kariet zákazníkov neznámymi útočníkmi. Ak ste si niečo cez OnePlus.net kupovali, odporúčame vám bezodkladne skontrolovať si výpis účtu. Viac sa dočítate v pôvodnom článku nižšie.
Pôvodný článok: Viacerí zákazníci oficiálneho online obchodu oneplus.net hlásia odcudzenie údajov zo svojich platobných kariet. Užívatelia si v bankových výpisoch všimli podozrivé transakcie, ktoré nikdy nevykonali.
Prostriedky smerovali napríklad na stránky s hazardnými hrami. Užívatelia informovali, že k neautorizovaným transakciám začalo dochádzať potom, ako nakúpili v obchode oneplus.net. Niektoré postihnuté platobné karty boli použité iba v obchode oneplus.net.
Je teda celkom isté, že oneplus.net má problém so zabezpečením digitálnych platieb. Asi 70 zákazníkov v ankete na fóre spoločnosti potvrdilo zneužitie platobných údajov, pričom na webe oneplus.net nakupovali v posledných dvoch mesiacoch.
OnePlus štartuje vyšetrovanie
Predstavitelia spoločnosti OnePlus vyjadrili v oficiálnom vyhlásení znepokojenie a okamžite začínajú s vyšetrovaním. Údaje o platobných kartách sa neukladajú na stránkach oneplus.net.
Cez šifrované spojenie ale putujú k partnerovi tretej strany, ktorý online platby spracováva. Podľa vyjadrenia predstaviteľov spoločnosti chráni platobný systém priemyselný štandard PCI DSS, ktorý vznikol ako ochranný mechanizmus pre organizácie a spoločnosti, ktoré spracovávajú údaje z platobných kariet.
Na problém sa pozrela aj bezpečnostná spoločnosť Fidus. Tá vyjadrila pochybnosti nad použitým bezpečnostným štandardom PCI-DSS, čo je však v rozpore s oficiálnym vyhlásením OnePlus.
Podľa spoločnosti Fidus sa môže na webe nachádzať škodlivý kus JavaScript kódu, ktorý jednoducho povedané odošle kópiu zadaných platobných údajov priamo útočníkom. Útočníci sa ešte mohli dostať k platobným údajom prelomením bezpečnosti serverov spoločnosti OnePlus, čo by však bolo oveľa väčším bezpečnostným prehreškom.
Momentálne ťažko povedať, kto za zneužitie platobných údajov zákazníkov môže. Či spoločnosť OnePlus, ktorá podcenila zabezpečenie vlastnej infraštruktúry, alebo kybernetickí útočníci, ktorým sa podarilo dôsledné zabezpečenie prekonať a zneužiť karty zákazníkov spoločnosti.
OnePlus bude vykonávať kompletný bezpečnostný audit a kým nebudú známe výsledky, na webe oneplus.net odporúčame zatiaľ nenakupovať. Ak ste tak v posledných týždňoch urobili, skontrolujte si výpis z účtu a v prípade nezrovnalosti kontaktujte spoločnosť na security@oneplus.net.
Aby sme nezabudli, pokiaľ ste na stránkach OnePlus nakupovali cez platobný systém PayPal, ste v bezpečí. Bezpečné by malo byť aj akékoľvek ďalšie nakupovanie cez PayPal, no napriek tomu by sme si počkali na závery vyšetrovania.
