Em uma postagem oficial em seus fóruns de suporte, a OnePlus admitiu hoje (19) que de fato uma brecha de segurança em sua loja online foi explorada por hackers. Com isso, dados completos de cartões de crédito de 40 mil clientes foram vazados.
Clientes da empresa reportaram atividades fraudulentas em seus cartões nas últimas semanas e, por isso, a empresa desativou a opção de pagamento com cartão de crédito de sua loja no último dia 11 de janeiro. O serviço ainda não foi reestabelecido, uma vez que a OnePlus só vai ativá-lo novamente quando terminar suas investigações e implementar um método mais seguro para cobrar com cartões de crédito.
A fabricante ainda explicou que está enviando emails para todos os clientes potencialmente afetados pela falha e recomenda que essas pessoas entrem em contato com os emissores de seus cartões para reverter qualquer compra fraudulenta. Para se desculpar com essas pessoas, a OnePlus está oferecendo um ano gratuito de um serviço de proteção contra fraudes em cartões de crédito.
Havia um script malicioso em um dos servidores da loja que roubava os dados de cartões enquanto eram digitados
A empresa afirma que a brecha de segurança não afetou todos os clientes
Se você comprou na loja oficial da OnePlus no período indicado, é preciso ficar atento. Contudo, a empresa afirma que a brecha de segurança não afetou todos os clientes. Quem pagou com cartão de crédito através da PayPal — seja com uma conta PayPal ou digitando os dados do cartão no processador de pagamentos da PayPal — não foi afetado. Quem pagou com um cartão de crédito que já estava salvo anteriormente no site da empresa também não deve enfrentar problemas.
Essa brecha foi explorada a partir de um servidor da OnePlus que já foi isolado do restante do sistema e colocado em quarentena. Ele estava hospedando um script na loja da marca que era capaz de roubar os dados dos cartões de crédito dos clientes enquanto eles digitavam as informações no site. A OnePlus ainda está investigando a origem desse ataque e não sabe se os criminosos invadiram seus sistemas remotamente ou tiveram acesso físico ao servidor em questão.
Categorias