Клиенты OnePlus стали жертвами мошенничества с кредитками

image

Теги: OnePlus, Magento, утечка данных

Пользователи, купившие продукцию OnePlus на официальном сайте компании, фиксируют подозрительную активность на своих счетах.

Новый 2018 год начался для владельцев смартфонов OnePlus не наилучшим образом. Целый ряд пользователей, купивших устройства в официальном интернет-магазине OnePlus, стали жертвами мошеннических операций с их кредитными картами.

Первая жалоба появилась на форуме поддержки OnePlus в прошлые выходные. По словам покупателя, была зафиксирована подозрительная активность с использованием двух его кредитных карт, которыми он рассчитывался при покупке OnePlus. «Единственное место, где я за последние 6 месяцев использовал обе карты – это сайт OnePlus», – сообщил пользователь.

Вскоре подобные сообщения стали массово появляться не только на форуме OnePlus, но также на сайтах Twitter и Reddit. Пользователи жаловались, что после покупки устройств или аксессуаров на официальном сайте китайской компании их кредитные карты оказались скомпрометированными. Из этого можно предположить, что источником утечки данных является OnePlus.

Исследователи ИБ-компании Fidus опубликовали собственный отчет о возможной проблеме с платежной системой на сайте OnePlus. По их мнению, серверы компании могли быть взломаны. В настоящее время OnePlus обрабатывает все платежи самостоятельно на сайте, а значит, вся биллинговая информация вместе с данными кредитных карт клиентов проходит через сайт OnePlus и может быть перехвачена злоумышленниками.

Как подчеркивают исследователи, их находки вовсе не свидетельствуют о том, что сайт компании был взломан. Вероятнее всего, атаке подверглась используемая OnePlus платформа Magento. В самой компании это отрицают.

OnePlus быстро отреагировала на проблему, уверив своих клиентов, что не хранит данные кредитных карт на своем сайте, а обработка платежей доверена партнеру компании, поддерживающему стандарт безопасности PCI-DSS. На серверах OnePlus хранятся данные только пользователей, выбравших опцию «Сохранить данные карты для будущих транзакций», однако они надежно защищены с помощью механизма токенов.

Payment Card Industry Data Security Standard (PCI DSS) – стандарт безопасности данных индустрии платежных карт. PCI DSS разработан Советом по стандартам безопасности индустрии платежных карт, учрежденным международными платежными системами Visa, MasterCard,American Express, JCB и Discover. PCI DSS представляет собой совокупность 12 детализированных требований по обеспечению безопасности данных о держателях платежных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus