بسیاری از مشتریان ادعا کردند که پس از خرید برخی لوازم بهطور مستقیم از وبسایت رسمی OnePlus، کارتهای اعتباری آنها در معرض خطر قرار گرفتهاست.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
بسیاری از مشتریان ادعا کردند که پس از خرید برخی لوازم بهطور مستقیم از وبسایت رسمی OnePlus، کارتهای اعتباری آنها در معرض خطر قرار گرفتهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تعداد زیادی از مشتریان OnePlus درباره تراکنشهای کارت اعتباری جعلی پس از خرید محصولات از فروشگاه برخط رسمی تولیدکننده تلفنهمراه هوشمند چینی خبر دادند.
این ادعا ابتدا در تعطیلات آخر هفته در انجمن پشتیبانی OnePlus از طرف یکی از مشتریان مطرح شد که میگفت دو کارت اعتباری او که در وبسایت رسمی این شرکت استفاده شدهاست مشکوک به انجام فعالیتهای جعلی و فریبکارانه هستند. این مشتری نوشت: «تنها جایی که هردوی این کارتهای اعتباری در ۶ ماه اخیر استفاده شدهبودند، وبسایت OnePlus بود.»
پس از آن تعداد زیادی از کاربران، شکایات مشابهی در انجمنهای OnePlus، توییتر و Reddit ارسال کردند و گفتند که آنها نیز قربانی جعل کارت اعتباری شدهاند.
بسیاری از مشتریان ادعا کردند که پس از خرید یک تلفنهمراه جدید یا برخی لوازم بهطور مستقیم از وبسایت رسمی OnePlus، کارتهای اعتباری آنها در معرض خطر قرار گرفتهاست که نشان میدهد این افشای اطلاعاتی ممکن است از طریق خود شرکت اتفاق افتادهباشد.
شرکت امنیت سایبری Fidus نیز یک پست وبلاگی درباره مسئله مطرحشده در مورد سامانه پرداخت برخط وبسایت OnePlus منتشر کرد. این شرکت معتقد است که احتمالاً کارگزارهای وبسایت OnePlus در معرض خطر قرار گرفتهاند.
بنا به گفته Fidus، شرکت OnePlus در حال حاضر تراکنشهای خود را در وبسایتش انجام میدهد؛ یعنی اینکه تمام اطلاعات صورتحساب به همراه تمام اطلاعات کارت اعتباری که توسط مشتریان از طریق وبسایت رسمی OnePlus وارد شدهاست، ممکن است توسط نفوذگران به سرقت رفتهباشد.
شرکت امنیتی Fidus نوشت: «در طول مدتی که اطلاعات پرداخت پس از تایید تقاضای خرید به یک ارائهدهنده خدمات شخص ثالث ارسال میشود، پنجرهای وجود دارد که در آن کد مخرب قادر است تا اطلاعات کارت اعتباری را قبل از اینکه رمزنگاری شوند به سرقت ببرد.» شرکت Fidus سعی داشت تا این مسئله را روشن کند که یافتههای آنها به هیچ وجه تایید نمیکند که وبسایت OnePlus در معرض افشا قرار گرفتهاست. آنها اظهار کردند که ممکن است حملات از طریق بستر تجارت الکترونیک Magento انجام شدهباشد که توسط OnePlus استفاده شده و یک بستر عمومی است که نفوذ به کارتهای اعتباری در آن رخ میدهد.
شرکت OnePlus به سرعت در انجمن خود به این مسئله رسیدگی کردهاست و تایید میکند که هیچ اطلاعات مربوط به کارتهای اعتباری را در وبسایت خود ذخیره نمیکند و همه تراکنشهای پرداخت از طریق همکار پردازش پرداخت PCI-DSS-compliant انجام میشوند.
فقط اطلاعات مربوط به کارت اعتباری کاربرانی که ویژگی «ذخیره این کارت برای تراکنشهای آینده» را فعال کردهاند در کارگزارهای رسمی OnePlus ذخیره میشود، اما حتی این اطلاعات نیز با استفاده از یک سازوکار توکن امن هستند.
کارکنان یک تولیدکننده تلفنهمراه هوشمند چینی گفتند: «وبسایت ما با HTTPS رمزنگاری شدهاست، درنتیجه بسیار سخت است که ترافیک به سرقت برود و کد مخرب تزریق شود. با این حال، یک بازرسی دقیق انجام میدهیم.»
این تولیدکننده چینی همچنین ادعا کرد که خریدهایی که از خدمات شخص ثالث مانند پیپال استفاده کردهاند، تحت تاثیر قرار نگرفتهاند.
شرکت OnePlus اطلاعات بیشتری در مورد این حادثه ارائه نمیدهد، اما تایید میکند که وبسایت رسمی آن توسط هیچ آسیبپذیری Magento تحت تاثیر قرار نگرفتهاست.
این شرکت گفت که oneplus.net در واقع در تجارت الکترونیک Magento ساخته شدهاست، اما از سال ۲۰۱۴ میلادی به کلی با استفاده از کد سفارشی از نو ساخته شدهاست و افزود که پرداختهای کارت اعتباری هرگز در مؤلفه پرداخت Magento انجام نشدهاند.
حدوداً ۱۰۰ ادعا در مورد تراکنشهای کارت اعتباری جعلی در انجمن پشتیبانی OnePlus وجود دارد. OnePlus از یک تحقیق رسمی در مورد این مسئله خبر داد و به کاربران آسیبدیده توصیه کرد که با بانک خود تماس بگیرند تا تراکنش پرداخت را بازگردانند.