2018. október 23., kedd

Gyorskeresés

Visszaélések a OnePlus webshopjában?

  • (f)
  • (p)
Írta: | | Forrás: OnePlus

A napokban többen is arra lettek figyelmesek, hogy a webshopban történő vásárlást követően illetéktelenek tranzakciókat végeztek bankkártyájukkal.

Futott az elmúlt években kellemetlenségekbe a OnePlus, ám a mostani lehet a legkomolyabb. Az elmúlt napokban, a gyártó fórumán, a Redditen és máshol arról számoltak be többen, hogy bankkártyájukról illetéktelenek nagyobb összegeket próbáltak leemelni, napokkal vagy hetekkel azt követően, hogy a gyártó webshopján bankkártyával vásároltak. A OnePlus közleményben jelezte: vizsgálódik, hogy a kártyás fizetés során illetéktelenek hozzájuthattak-e a bankkártya adatokhoz, bár megjegyzi: a konkrét tranzakció nem a OnePlus.net felületén történik, onnan DSS-minősítésű biztonsági rendszerük továbbítja a megadott adatokat egy erre szakosodott, távoli szerverre.

A legtöbb kávától megszabadult a OnePlus 5T, a maradékkal pedig együtt lehet élni
A OnePlus 5T kitűnő lett, ám a gyártó webshopjának biztonságára, úgy tűnik, nem fordítottak kellő figyelmet [+]

A gyártó a bejelentések után azonnal megkezdte a nyomozást az ügyben, és ideiglenesen leállította a bankkártyás fizetést a webshopban. Ezzel egy időben kérik az érintetteket, hogy jelezzék észrevételeiket a security@oneplus.net címen, illetve bankjuk felé az esetleges visszaéléseket és próbálkozásokat, hogy a megfelelő óvintézkedéseket megtehessék. Azt, hogy mi lesz a nyomozás végkimenetele, és esetlegesen, amennyiben hiba történt az oldalukról, kompenzálják-e az érintetteket, egyelőre nem tudni. Mindenesetre, mivel a OnePlus elsősorban online értékesítésre hagyatkozik, és ennek az említett webshop a legfőbb felülete, egy széleskörű biztonsági ügy alapjaiban rendítheti meg a márkába vetett bizalmat.

A Fidus a fenti ábrán jelzi, a fizetési procedúra során hol férhettek hozzá a támadók a bankkártya adatokhoz
A Fidus a fenti ábrán jelzi, a fizetési procedúra során hol férhettek hozzá a támadók a bankkártya adatokhoz (forrás: Fidus) [+]

A biztonsági résekkel és kockázatokkal foglalkozó Fidus Information Security utánanézett a dolognak, és megjegyezte: a potenciális gyenge pont a OnePlus.net fizetési rendszerében az, hogy bár maga a tranzakció valóban távoli és elvileg biztonságos szerveren történik, a gyártó pedig nem tárol el kártyaadatokat (pl. a CVV kódot), ezeket a fizetés előtt nem egy külső, biztonságos felületeken kell bepötyögni, hanem a OnePlus saját űrlapján. A Fidus szerint ennek továbbítása lehet az a pont, amikor a hekkerek esetleg olyan JavaScript kódot ültettek be, amely a biztonságos szerver mellett a maguk részére is elküldte a kártyaadatokat. A biztonsági tanácsadó oldal szerint eleve kisebb volna a kockázat, ha az űrlapokat is egy távoli, komolyabb védelemmel ellátott oldal felületén kellene kitölteni, bár szerintük ez se garantál 100%-os védelmet a mai, online vásárlás potenciális csapdái ellen.

Egyre többen jelzik a OnePlus fórumán, hogy visszaélések történek bankkártyájukkal
Egyre többen jelzik a OnePlus fórumán, hogy visszaélések történek bankkártyájukkal (forrás: OnePlus)

A Fidus teóriáiról, hogy pontosan milyen metódusokkal juthattak az illetéktelenek a bankkártya adatokhoz, itt lehet elolvasni, a gyártó felé, a fenti email címen túl pedig errefelé jelezni, akit érint a dolog. Azt itt látható szavazatok arra mutatnak, hogy az elmúlt két hónap bankkártyás vásárlásai során történhetett a legnagyobb adatlopás (jelenleg csak ebben a topicban 226-an jelezték, hogy pórul jártak), míg néhányan régebbi vásárlás után vettek észre kéretlen kártyahasználatot. Van, akiket (egyelőre) nem érintett a dolog, és úgy tűnik, a PayPal rendszeren történő fizetésnek nincs biztonsági kockázata, ezért ez továbbra is adott a webshopban. Biztosan lesznek még fejlemények az ügyben, és az eset általánosságban pedig rámutat, hogy mekkora figyelmet kell fordítani a készülékek támogatásán túl a biztonságra, akár a telefonon, akár a gyártó szerverein, akár az online fizetési platformokon.

Hirdetés

Előzmények

Gyártók, szolgáltatók

Hirdetés

Copyright © 2000-2018 PROHARDVER Informatikai Kft.