OnePlus confirme avoir été victime d'un piratage sur son site. Un script malveillant a été installé afin de récupérer les données bancaires lorsqu'elles étaient saisies (et donc en clair). 40 000 clients sont potentiellement touchés.
Depuis plusieurs jours, des clients OnePlus affirment avoir été victimes de transactions frauduleuses sur la carte utilisée pour commander sur le site du fabricant. Ce dernier avait réagi officiellement : le paiement par carte bancaire a été désactivé et une enquête ouverte.
Les données bancaires récupérées directement lors de la saisie
Dans une mise à jour du billet de blog, il donne de plus amples informations... et elles ne sont pas bonnes : « Nous sommes profondément désolés d'annoncer que nous avons effectivement été attaqués, et que jusqu'à 40 000 utilisateurs pourraient être affectés par cet incident ».
OnePlus explique qu'un « script malveillant a été injecté dans le code de la page de paiement afin de récupérer les informations liées à la carte de crédit durant la saisie ». Il est question du numéro de carte bancaire, de la date d'expiration et du code de sécurité, bref de quoi passer des commandes sur d'autres sites.
Le script fonctionnait « par intermittence », envoyant aux pirates les données récoltées directement depuis le navigateur du client. Le script a bien évidemment été effacé et le serveur infecté mis en quarantaine affirme la société.
Un script en place pendant près de deux mois...
Les clients ayant saisi leurs informations bancaires entre mi-novembre et le 11 janvier sont potentiellement touchés (ils sont 40 000), et sont tous contactés par email. Par contre ceux ayant enregistré leur carte avant cette date ou ayant payé via PayPal ne sont pas concernés.
La société se confond en excuse, ajoutant qu'elle va renforcer sa sécurité. Elle ne communique pas pour le moment sur un éventuel dédommagement. Dans tous les cas, il est évidemment recommandé aux personnes concernées de vérifier attentivement leurs relevés de comptes afin de détecter rapidement d'éventuelles transactions frauduleuses et de contacter leur banque le cas échéant.
Petit bonus avec l'achat de mon #oneplus 5t (cc @nextinpact ) pic.twitter.com/MBnJIqQcwf
— Joël Chastagnier (@j_chas) 19 janvier 2018
