OnePlus-hack: creditcardgegevens van 40.000 klanten gestolen

Vorige week stuurde OnePlus het alarmerende bericht de wereld in dat ze mogelijk gehackt was. Verschillende klanten meldden ‘verdachte afschrijvingen’ binnen een periode van twee maanden nadat ze een betaling hadden uitgevoerd op de website. Nu blijkt dat de betaalgegevens van ongeveer 40.000 OnePlus-klanten zijn buitgemaakt. Dat blijkt uit hun onderzoek naar de creditcardfraude, zo schrijft de Chinese fabrikant in een blogpost.

Kwaadaardig script

Volgens de fabrikant zou een kwaadaardig script zich genesteld hebben in één van de servers die de betalingen verwerkte. Op die manier kon het script creditcardgegevens – waaronder kaartnummer, verloopdatum en beveiligingscode – vanuit de browser opvissen.

De onderzoekers kwamen ondertussen al te weten hoe de aanvaller wist binnen te dringen. Of de aanval op afstand gebeurde of middels fysieke toegang, is nog niet duidelijk. Het injecteren van de malafide code zou half november gebeurd zijn.

Wie is slachtoffer?

De geïnfecteerde server zou inmiddels uit het systeem gehaald zijn. Klanten die hun kredietkaartgegevens hebben ingevuld op de OnePlus-site tussen november 2017 en 11 januari 2018, zouden mogelijk het slachtoffer zijn van de hack. Wie heeft betaald met een opgeslagen creditcard of via PayPal, hoeft zich geen zorgen te maken.

De 40.000 klanten die zijn getroffen, worden door OnePlus benaderd. De telefoonmaker biedt hen aan om een jaar lang hun creditcard te monitoren. Hoeveel mensen uit de Benelux daaronder vallen, kan het bedrijf niet zeggen. Ook zou OnePlus samenwerken met de lokale opsporingsdiensten.

Sinds vorige week kan je (tijdelijk) geen kredietkaartbetalingen meer uitvoeren in de webwinkel, zolang het onderzoek loopt. Klanten kunnen wel nog via een andere betaalmethode, zoals PayPal, aankopen doen.