Новый 2018 год начался для владельцев смартфонов OnePlus не наилучшим образом. Целый ряд пользователей, купивших устройства в официальном интернет-магазине OnePlus, стали жертвами мошеннических операций с их кредитными картами.

Первая жалоба появилась на форуме поддержки OnePlus в прошлые выходные. По словам покупателя, была зафиксирована подозрительная активность с использованием двух его кредитных карт, которыми он рассчитывался при покупке OnePlus. «Единственное место, где я за последние 6 месяцев использовал обе карты – это сайт OnePlus», – сообщил пользователь.

Вскоре подобные сообщения стали массово появляться не только на форуме OnePlus, но также на сайтах Twitter и Reddit. Пользователи жаловались, что после покупки устройств или аксессуаров на официальном сайте китайской компании их кредитные карты оказались скомпрометированными. Из этого можно предположить, что источником утечки данных является OnePlus.

Исследователи ИБ-компании Fidus опубликовали собственный отчет о возможной проблеме с платежной системой на сайте OnePlus. По их мнению, серверы компании могли быть взломаны. В настоящее время OnePlus обрабатывает все платежи самостоятельно на сайте, а значит, вся биллинговая информация вместе с данными кредитных карт клиентов проходит через сайт OnePlus и может быть перехвачена злоумышленниками.

Как подчеркивают исследователи, их находки вовсе не свидетельствуют о том, что сайт компании был взломан. Вероятнее всего, атаке подверглась используемая OnePlus платформа Magento. В самой компании это отрицают.

OnePlus быстро отреагировала на проблему, уверив своих клиентов, что не хранит данные кредитных карт на своем сайте, а обработка платежей доверена партнеру компании, поддерживающему стандарт безопасности PCI-DSS. На серверах OnePlus хранятся данные только пользователей, выбравших опцию «Сохранить данные карты для будущих транзакций», однако они надежно защищены с помощью механизма токенов.

Payment Card Industry Data Security Standard (PCI DSS) – стандарт безопасности данных индустрии платежных карт. PCI DSS разработан Советом по стандартам безопасности индустрии платежных карт, учрежденным международными платежными системами Visa, MasterCard,American Express, JCB и Discover. PCI DSS представляет собой совокупность 12 детализированных требований по обеспечению безопасности данных о держателях платежных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций.