Zákazníci spoločnosti OnePlus začali v minulom týždni poukazovať na možné zneužitie svojich platobných kariet, čo sa nakoniec aj potvrdilo. K úniku informácií o platobných kartách došlo pri nákupe prostredníctvom oficiálneho online obchodu oneplus.net.
Spoločnosť začala incident okamžite vyšetrovať a z e-shopu preventívne odstránila možnosť uskutočnenia platby kartou. K dispozícii zostal iba PayPal, ktorého sa bezpečnostný prehrešok netýka.
Spoločnosť OnePlus už dospela k záverom, aj keď nie k úplným, ktoré nie sú vôbec príjemné.
Informácie o platobných kartách zákazníkov boli odcudzené skriptom, ktorý útočníci vložili do servera pre spracovanie platieb. Zatiaľ nie je jasné, či bol skript nainštalovaný fyzicky, teda niekým, kto mal prístup k serverom, alebo došlo k inštalácii na diaľku.
Z celkového počtu zákazníkov bezpečnostná hrozba postihla až 40 000 z nich. Odcudzené informácie obsahovali čísla platobných kariet, doby platnosti kariet a bezpečnostné kódy. Skript odosielal odcudzené údaje priamo z prehliadačov zákazníkov v zápätí po tom, ako ich manuálne zadali.
K odcudzeniu údajov dochádzalo približne od polovice novembra do 11. januára. Ak ste v tomto období uskutočnili na webe oneplus.net akýkoľvek nákup, je potrebné skontrolovať si výpis z účtu a preveriť, či nejaké vaše peniaze neodišli tam kam nemali.
Ak áno, je nutné kontaktovať banku a nechať si kartu zablokovať, resp. vymeniť za novú s aktualizovanými údajmi. Kontaktovať by ste mali aj spoločnosť OnePlus na adrese security@oneplus.net.
Bezpečnostné riziko sa netýka zákazníkov, ktorí mali v systéme platobnú kartu uloženú (pred novembrom), alebo uskutočnili platbu pomocou služby PayPal.
Výrobca stále vykonáva hĺbkový bezpečnostný audit a plánuje zaviesť dokonalejšiu metódu pre vykonávanie platieb. Momentálne sa dá na oneplus.net stále nakupovať iba cez PayPal.
