Dopo aver appreso che sulle carte di credito dei propri clienti apparivano addebiti fraudolenti, OnePlus ha disattivato il supporto per i pagamenti con carta di credito e ha avviato un’indagine che è attualmente in corso. I risultati preliminari sono, tuttavia, decisamente preoccupanti.
In una dichiarazione rilasciata ieri, OnePlus ha dichiarato che le informazioni relative alla carta di credito di fino a 40.000 clienti sono state catturate da un soggetto attualmente sconosciuto tra Novembre 2017 e metà Gennaio 2018. OnePlus non ha confermato il numero di clienti le cui informazioni di pagamento acquisite sono state utilizzate per acquisti fraudolenti, rilevando invece che il numero di utenti interessati rappresentava una “piccola porzione” della sua base di clienti.
Mentre è vero che milioni di smartphone OnePlus sono stati venduti dal negozio spin-off di Oppo nel 2014, è probabilmente una piccola consolazione per le persone direttamente coinvolte. A seguito della violazione, OnePlus afferma che continuerà a collaborare con le forze dell’ordine e offrirà un anno di monitoraggio del credito gratuito a tutti gli utenti interessati.
Ma come è successo tutto questo in primo luogo? Secondo un portavoce della società, una terza parte malintenzionata ha ottenuto l’accesso a uno dei suoi server e ha iniettato uno script che ha catturato le informazioni delle carta di credito mentre venivano digitati i dati nel modulo di pagamento del sito.
Mentre alcuni originariamente sospettavano che il processo di pagamento di OnePlus fosse la causa del problema, sembra che abbia invece funzionato esattamente come previsto. Una volta inseriti, i dati di pagamento sono stati successivamente crittografati e trasmessi al processore di pagamento della società come al solito – lo script è stato sequestrato in una finestra di opportunità e ha acquisito le informazioni prima che potesse essere crittografato.