美国时间2018年1月9日至12日,国际消费类电子产品展览会(International Consumer Electronics Show,简称CES)在拉斯维加斯举行。在此期间,一加手机(OnePlus)创始人刘作虎在接受英国《每日电竞争报》采访时首此对外披露,一加手机在2017年的营业收入超过14亿美元(近100亿人名币)。
然而,对于OnePlus的用户来说,他们最近却迎来了2018年的第一个坏消息。大量的OnePlus用户开始在各大平台抱怨,称他们在通过OnePlus官方网站购买手机后遭遇了信用卡诈骗。
网络安全公司Fidus在发现这个情况后,对OnePlus官网进行了针对性的分析。结果是,他们发现了一个安全漏洞,可能允许黑客从中OnePlus官网上扫描敏感的信用卡数据。
最初的抱怨来自OnePlus论坛,一位ID为“superdutynick”的用户表示,他用两张不同的信用卡购买了两部手机,第一部在2017年11月26日,第二部在2017年11月28日,而最近他收到了关于涉嫌信用卡欺诈活动的通知。他登录了信用卡网站,发现有几笔交易的确不是他操作的。
该用户指出,他并不经常使用这两张信用卡,在过去6个月里,唯一使用的地方就是Oneplus网站。
事实证明,superdutynick并不是唯一的特例。越来越多相似的抱怨开始出现在OnePlus论坛、Twitter和Reddit论坛,数百名用户抱怨称,他们也成为了信用卡欺诈的受害者。
Fidus也发表了一篇博客文章,详细介绍了OnePlus官网支付系统可能存在的安全问题,并怀疑OnePlus官网的服务器可能已经被入侵。
根据Fidus的说法,既然用户是通过OnePlus官网的支付页面进行付款的,这意味着所有付款细节都会通过OnePlus官网进行传输,并且可能被黑客拦截。虽然,付款细节在提交表单时被发送给了第三方提供商,但在数据被加密前,还有一个窗口可以让恶意代码抽取信用卡细节。
Fidus也进行了必要的澄清,他们的调查结果并没有以任何方式证实OnePlus官网遭到了破坏。相反,他们表示这些攻击可能来自于OnePlus使用的Magento电子商务平台,而这也是黑客攻击事件中最常见的易受攻击平台。
OnePlus 对此在其论坛上迅速做出了回应,表示确认不会在其网站上存储任何信用卡信息,所有支付交易都通过其符合PCI-DSS(第三方支付行业数据安全标准)的支付处理合作伙伴进行。
该公司还表示,OnePlus的官方网站服务器上只会保存那些绑定信用卡的用户信息,即使这些信息是也是通过令牌机制进行保护的。
OnePlus的一位论坛ID为“Mingyu”的员工写道:“我们的网站是HTTPS加密的,所以拦截流量和注入恶意代码都会非常困难,但是我们正在进行一个完整的审计。”
另外,OnePlus 也证实,通过使用PayPal等第三方支付服务购买产品的用户不受事件的影响。
OnePlus并没有透露有关事件的很多信息,但确认其官方网站不受任何Magento漏洞的影响。
该公司承认oneplus.net的确是建立在Magento电子商务平台之上,但自2014年以来,它已经完全使用自定义代码进行重新构建。
在OnePlus论坛上,有近100个关于信用卡欺诈交易的索赔。OnePlus宣布,对此事件正在进行正式的调查,并建议受影响的用户尽快与其银行进行联系。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
推荐阅读:智慧网