OnePlus ha sido presuntamente hackeado para robar los detalles de las tarjetas de crédito

Share this…

Mal empieza el año para el fabricante chino de smartphones OnePlus, debido a que muchos de sus clientes están denunciando la realización de operaciones fraudulentas con sus tarjetas de crédito.

El asunto empezó a emerger el pasado fin de semana, cuando un cliente dijo que dos de las tarjetas de crédito que utilizó para comprar en OnePlus podrían estar siendo usadas de forma fraudulenta, ya que en los últimos seis meses solo las había utilizado para comprar en la tienda del mencionado fabricante. Esto despertó las sospechas de otros clientes que empezaron a denunciar lo mismo a través del foro de OnePlus, Twitter y Reddit.

Muchos clientes empezaron a explicar que las actividades fraudulentas con sus tarjetas de crédito empezaron después de comprar un smartphone o accesorios en la tienda electrónica de OnePlus, por lo que se reforzaron los indicios de una filtración de datos procedente de ahí. La empresa de ciberseguridad Fidus ha publicado una entrada en su blog corporativo detallando el posible problema con el sistema de pago utilizado por el sitio web de OnePlus, el cual ha podido ser comprometido.

Fidus explica que OnePlus realiza actualmente las transacciones ella misma desde su sitio web, esto significa que los datos de facturación, junto con los detalles de la tarjeta de crédito, pueden ser interceptados por actores maliciosos. “Si bien los detalles del pago se envían a un proveedor tercero al tramitar el formulario, hay una ventana con código malicioso que puede desviar los detalles de la tarjeta de crédito antes de que sean cifrados”. Tras explicar esto, Fidus quiere dejar claro que OnePlus no ha padecido (al menos supuestamente) ninguna brecha de datos, sino que la instalación de Magento que utiliza el fabricante chino como comercio electrónico ha sido hackeado para robar los datos de las tarjetas de crédito.

Cómo han sido interceptado los detalles de las tarjetas de crédito de los clientes de OnePlus según Fidus

Ante el revuelo generado, OnePlus se ha visto forzada a tener que dar la cara, explicando que no almacena ningún dato de tarjeta de crédito y que todos los pagos son llevados a cabo a través de un socio de procesamiento de pagos compatible con PCI-DSS, al menos que el usuario haya seleccionado la opción “guardar esta tarjeta para futuras transacciones”, con la cual entonces sí se almacena la tarjeta de crédito del usuario, pero esta no es introducida tal cual en el servidor, sino que se protege con un mecanismo de tokenización. Además, el sitio web de OnePlus funciona enteramente con HTTPS, por lo que las comunicaciones están cifradas. La compañía ha confirmado que los que hayan comprado a través de otros servicios como PayPal no están afectados por este problema.

De momento el fabricante no aclara de dónde ha podido venir el problema, pero confirma que no se trata de ninguna vulnerabilidad hallada en la tienda electrónica Magento. Sin embargo, es importante decir que OnePlus no utiliza una implementación estándar de la conocida solución de comercio electrónico, sino que en 2014 dicha parte fue reconstruido en su totalidad utilizando código personalizado para así añadir pagos mediante tarjeta de crédito, que nunca fueron implementados en el módulo de pago de Magento según OnePlus.

Hasta ahora el incidente ha afectado a unas 100 tarjetas de crédito según datos que se pueden extraer del foro de OnePlus. El fabricante ha anunciado una investigación en torno a este asunto y ha recomendado a los usuarios afectados ponerse en contacto con los bancos para revertir los pagos fraudulentos.

Fuente:https://www.muyseguridad.net/2018/01/16/oneplus-hackeado-robar-tarjetas-de-credito/