19 enero, 2018
Hace solo unos días, OnePlus suspendió los pagos con tarjeta de crédito en su tienda oficial luego de que se registraran transacciones fraudulentas realizadas con la información de pago de muchos usuarios. En un comunicado publicado este viernes por la empresa, se confirmó que este masivo robo de datos afectó a 40.000 usuarios entre noviembre de 2017 y enero de 2018.
La compañía no confirmó cuantos usuarios han sido afectados por compras fraudulentas realizadas con sus tarjetas, pero señaló que se trataba de una “pequeña porción” de su base de clientes. OnePlus aclaró que está trabajando con la policía para encontrar a los piratas que vulneraros su plataforma y agregó que ofrecerá un año de monitoreo de crédito gratuito para todos los usuarios afectados.
De acuerdo con un vocero de la compañía, un delincuente obtuvo acceso a uno de sus servidores e insertó un script que capturó la información de la tarjeta de crédito de las personas cuando era escrita en el formulario de pago del sitio. Si bien originalmente se sospechaba que el procesador de pagos de OnePlus era el culpable del problema, parece que el proceso de pago con tarjeta de crédito funcionó exactamente como se suponía. Una vez ingresados, los datos de pago fueron posteriormente encriptados y transmitidos al procesador de pagos de la compañía como de costumbre: el script se aprovechó de una ventana y capturó la información antes de que pudiera ser encriptad.
Esto significa que los clientes que pagaron a través de PayPal no se vieron afectados por la infracción, como así tampoco aquellos que realizaron compras con los detalles de la tarjeta de crédito previamente guardada, ya que no ingresaron la información manualmente.
Si bien la declaración de OnePlus arroja mucha luz sobre la situación, algunos de los detalles más importantes no han sido descubiertos o aún no han sido revelados. Aún está en curso una investigación sobre posibles culpables, y aunque un vocero insiste en que solo un servidor fue afectado, no pudo confirmar si la vulnerabilidad también existía en otros servidores propiedad de la compañía. El mismo vocero dijo que la compañía está tratando de ser “lo más transparente posible” con sus clientes, pero no dijo si los resultados completos de la investigación se darían a conocer una vez que el proceso haya concluido.
Vía: Engadget