O site da OnePlus, reconhecida fabricante de smartphones, foi recentemente alvo de um ataque informático, tendo resultado no roubo de vários cartões de crédito de clientes na plataforma.
De acordo com a empresa de segurança Fidus, os atacantes aproveitaram uma vulnerabilidade existente no site para poderem roubar diversa informação sensível dos clientes, nomeadamente números de cartões de crédito utilizados para compras no site.
A partir do Reddit e dos fóruns oficiais da empresa existem vários relatos de consumidores que registaram atividades suspeitas com os seus cartões de crédito, depois de utilizarem os mesmos para pagamentos na OnePlus. Estes casos também possuem em comum o facto de terem começado a ser registados cerca de um ano depois das compras no site terem sido realizadas.
Segundo a empresa de segurança, este problema terá sido agravado pelo facto que as páginas de pagamento e de introdução dos dados encontram-se alojadas no próprio site da OnePlus. Apesar de a empresa referir que os dados dos cartões de crédito são processados por outra entidade – CyberSource – os formulários de introdução dos dados ainda estão armazenados no próprio site da fabricante.
Até ao momento a OnePlus ainda não comentou esta situação, no entanto a empresa de segurança afirma que existem dois possíveis pontos de ataque. O primeiro encontra-se numa falha existente sobre a plataforma utilizada pelo site da OnePlus – Magento – onde os dados poderiam ser roubados através de javascript malicioso.
Outra possibilidade encontra-se numa falha existente no próprio sistema da entidade processadora do pagamento, a CyberSource, onde a extensão do roubo pode alargar-se a ainda mais websites.
De notar que este ataque apenas se aplica aos pagamentos realizados a partir do próprio site da fabricante. Nos pagamentos feitos por outros meios - como é o caso do PayPal - o mesmo não se aplica, visto que os dados são enviados/processados nas respectivas entidades de pagamento.
Nenhum comentário
Seja o primeiro!