Покупатели интернет-магазина OnePlus жалуются на кражу платёжных данных
В OnePlus уже занимаются расследованием инцедента.

От пользователей социальной сети Twitter, форума Reddit и официального форума OnePlus начали поступать жалобы на подозрительные банковские операции по их кредитным картам после совершения покупок в интернет-магазине OnePlus.
Представители OnePlus заявили, что платёжные данные покупателей не хранятся на сайте компании, а обрабатываются на защищённых серверах партнёров, куда данные поступают по зашифрованным каналам. Даже в случае использования опции «сохранить карту для последующих покупок» платёжная информация хранится на стороне партнёра, в то время как сайт OnePlus оставляет себе «маркер», по которому идентифицируется карта конкретного покупателя.
При наличие малейших подозрениях на кражу платёжных данных, OnePlus рекомендуют пользователям обращаться в банк для пресечения нежелательных операций. В компании уже занимаются проведением тщательной проверки безопасности.
Фирма Fidus Information Security, занимающаяся исследованиями в области информационной безопасности, провела независимый аудит, в ходе которого были выявлены две потенциальные уязвимости:
- На сайте мог быть размещён вредоносный JavaScript, перенаправляющий платёжные данные на сторону злоумышленников до того, как они были зашифрованы и переданы платёжной системе партнёра.
- Платёжный сервис CyberSource, используемый OnePlus, сам оказался жертвой взлома.
Стоит отметить, что следов каких-либо вредоносных скриптов обнаружено не было. Если инцидент с OnePlus стал следствием атаки на CyberSource, то под угрозой находятся прочие интернет-магазины, задействующие сервис.