Webwinkel OnePlus lekte mogelijk betaalgegevens van klanten
De webshop van OnePlus accepteert tijdelijk geen kredietkaartbetalingen meer nadat verschillende klanten via het forum van de telefoonbouwer melding maakten van kredietkaartfraude. Meer dan 200 mensen stelden verdachte afschrijvingen vast binnen een periode van 2 maanden nadat ze een betaling hadden uitgevoerd op de website.
OnePlus onderzoekt wat er aan de hand is en onderwerpt de hele website aan een audit. Ondertussen accepteert het wel nog betalingen via PayPal. Daarnaast gaat het op zoek naar “alternatieve veilige betaalopties”. In een reactie beschrijft het bedrijf de verschillende beveiliginsmaatregelen die het hanteert om de betaalgegevens van klanten te beschermen. De betaalgegevens worden niet op de website van OnePlus bewaard, maar geëncrypteerd doorgestuurd naar een betaalpartner en verwerkt op diens beveiligde servers.
Uit een analyse van beveiligingsbedrijf Fidus blijkt evenwel dat er een korte periode is waarin malware de kredietkaartgegevens kan ontfutselen voor ze geëncrypteerd worden. Het probleem zit er volgens Fidus in dat OnePlus het betaalformulier op zijn eigen website host, hoewel het de verwerking van de betaling verder aan een externe partner overlaat. Dat betaalformulier werd mogelijk geïnjecteerd met kwaadaardige JavaScript-code die de informatie steelt voor ze versleuteld wordt doorgestuurd. Het is daarom best practice om het betaalformulier niet zelf te hosten, maar gebruik te maken van een beveiligde sandbox van de betaalpartner.