Search
158755:

OnePlus: 40.000 Kreditkartendaten von Kunden entwendet

von Tim

OnePlus schafft es konsequent in den negativen Schlagzeilen zu bleiben. Es wurde ja schon drüber gesprochen und nun auch offiziell von OnePlus bestätigt. Sie haben die Untersuchungen abgeschlossen und es wurden 40.000 Kreditkartendaten entwendet. Erst durch einen Hinweis des Twitter Users @superdutynick sind Sie darauf aufmerksam geworden.

Auf den Servern von OnePlus wurde ein Script hinterlegt, was bei dem Bestellvorgang die Kreditkartendaten via Cross-Site-Scripting mitgelesen hat. Laut dem Blogeintrag wurde die Kreditkartennummer, das Gültigkeitsdatum sowie der Sicherheitspin entwendet. Damit hat der Angreifer alles, was man in vielen Fällen zum Bezhalen benötigt! Sie haben das Skript entfernt und Teile der Infrastruktur neu aufgesetzt. Ob damit auch die Lücke geschlossen wurde, durch die der Angreifer in das System kam, wurde nicht gesagt. OnePlus setzt auf den Online Shop Magento, welcher seit Jahren ein Problem mit Sicherheitslücken hat. Normalerweise will man als Online Shop die Daten gar nicht auf dem eigenen Server haben und nutzt dafür externe Bezahldienste, die man dann in einem IFrame lädt.

Aber der Reihe nach.

1. What happened

One of our systems was attacked, and a malicious script was injected into the payment page code to sniff out credit card info while it was being entered.

  • The malicious script operated intermittently, capturing and sending data directly from the user’s browser. It has since been eliminated.
  • We have quarantined the infected server and reinforced all relevant system structures.

2. Who’s affected

  • Some users who entered their credit card info on oneplus.net between mid-November 2017 and January 11, 2018, may be affected.
    • Credit card info (card numbers, expiry dates and security codes) entered at oneplus.net during this period may be compromised.
    • Users who paid via a saved credit card should NOT be affected.
    • Users who paid via the “Credit Card via PayPal” method should NOT be affected.
    • Users who paid via PayPal should NOT be affected.
  • We have contacted potentially affected users via email.
  • Credit card info (card numbers, expiry dates and security codes) entered at oneplus.net during this period may be compromised.
  • Users who paid via a saved credit card should NOT be affected.
  • Users who paid via the “Credit Card via PayPal” method should NOT be affected.
  • Users who paid via PayPal should NOT be affected.

Ich würde allen Kunden raten, die im Zeitraum von Mitte November bis 11. Januar 2018 bei OnePlus auf der Seite Ihre Kreditkartendaten eingegeben haben, Ihre Karte zu sperren. Kunden deren Kreditkartendaten schon im System waren oder PayPal genutzt haben, sind nicht betroffen. Sie versuchen gerade einen Weg zu finden, wie Sie allen Kunden einen kostenlosen Service zur Überwachung der Kreditkartenbewegungen anbieten können. Ich finde, dies ist nur ein kleines Trostpflaster. Da müssen sich da echt schon etwas mehr überlegen, damit das Vertrauen der Kunden wieder zurück gewonnen werden kann. Ich persönlich würde dort nicht mehr einkaufen. Hat OnePlus, nach all den Vorfällen, euer Vertrauen noch?

Quellen: Cashys Blog, Golem

Beliebteste Artikel Aktuell: