Le fabricant chinois OnePlus est connu pour ses smartphones abordables aux spécifications haut de gamme. Elle vend ses produits sur Internet et sa boutique en ligne est vulnérable aux attaques depuis des mois.
Selon OnePlus, un intrus non identifié a obtenu les données de cartes de crédit de 40 000 clients entre novembre 2017 et janvier 2018. Elle envoie ses produits dans 33 pays ; la liste ne comprend pas la France.
La société affirme que l’attaquant a réussi à accéder à l’un de ses serveurs et a injecté un script qui a capturé les données de la carte de crédit pendant qu’elles étaient saisies dans le formulaire de paiement du site, avant d’être cryptées pour l’expédition.
Les clients qui ont payé via PayPal n’ont pas été affectés, même ceux qui avaient déjà les données enregistrées dans le profil ? l’attaquant avait besoin que l’utilisateur saisisse le numéro de carte.
Certains clients étaient confrontés à des frais frauduleux sur leurs factures. La société a donc désactivé les paiements à crédit sur son site web et a ouvert une enquête. Elle ne dit pas combien de personnes ont été touchées par des achats frauduleux.
Pour compenser le mal de tête, OnePlus offrira un an de surveillance gratuite du crédit aux utilisateurs concernés ? qui, selon OnePlus, représentent une “petite partie” de sa clientèle. L’enquête est en cours.
En novembre, on a découvert que les appareils OnePlus étaient livrés avec une application de diagnostic appelée EngineerMode, qui peut donner un accès à la racine à n’importe qui sans déverrouiller le chargeur de démarrage. Il a été supprimé après une mise à niveau.
Et en octobre, le fabricant a été accusé de recueillir plus de données qu’il ne le devrait sur les utilisateurs. Il s’agissait notamment de leur numéro de téléphone, de l’heure et de la fréquence de déverrouillage de l’écran, et de la durée pendant laquelle chaque application était au premier plan. Elle a promis de changer cette pratique.
