OnePlus fue alertado de una vulnerabilidad que podría haber provocado la filtración de datos confidenciales del usuario, Policía de Android informó el viernes.
La vulnerabilidad se encontró en uno de los sistemas de facturación de reparaciones fuera de garantía de la empresa. Solo habría afectado a una pequeña cantidad de clientes de EE. UU. Y fue administrado por un tercero. Policía de Android notificó a OnePlus del problema y trabajó con ellos para resolverlo.
En esencia, si alguien aprovechó la vulnerabilidad, habría podido ver los datos de los usuarios que habían solicitado una reparación pero que aún tenían que pagar la factura. Dicha parte habría tenido acceso a números de pedido, modelo de teléfono, IMEI. fecha de pedido, nombre, dirección, número de teléfono, dirección de correo electrónico y costo de reparación. OnePlus dice que los detalles de la tarjeta de crédito nunca fueron expuestos.
Verizon ofrece Pixel 4a por solo $ 10 / mes en nuevas líneas ilimitadas
En una declaración dada a Policía de Android, OnePlus aclaró el problema, diciendo:
El 2 de julio, se solucionó una vulnerabilidad en el sitio web de nuestro proveedor de servicios de reparación de EE. UU. Clientes de OnePlus en los EE. UU. Que debían pagar las reparaciones fuera de garantía o aquellos que optaron por usar Nuestro programa de intercambio de garantía lanzado recientemente recibió un enlace exclusivo de terceros para procesar su pago. Desde el momento en que se generó el enlace de pago y se envió por correo electrónico al cliente, hasta el momento en que la información de pago fue enviado, el nombre del cliente, la dirección de envío, la dirección de correo electrónico, el modelo del dispositivo y el IMEI estaban visibles en el enlace. Tan pronto como se envió la información de pago de un usuario, el enlace quedó inactivo de inmediato. Para asegurar aún más este proceso, se requerirá un paso de verificación adicional a partir de principios de la próxima semana.
Después de una investigación exhaustiva junto con nuestro proveedor, no hemos encontrado evidencia de ningún intento intencional de acceder a estas URL.
Además, nunca se pudo acceder a los detalles de la tarjeta de crédito ni a la información de pago de ningún tipo.
La privacidad del usuario es una prioridad máxima para OnePlus y nos disculpamos por cualquier preocupación que esto pueda causar. Hemos realizado importantes mejoras de seguridad en nuestras propias plataformas en los últimos años y estamos trabajando diligentemente para seguir mejorando. También estamos mejorando nuestros procesos internos para responder más rápidamente a los vulnerabilidades e involucraremos más estrechamente a nuestros proveedores externos para garantizar mejor la seguridad en sus plataformas.
Si bien las vulnerabilidades de seguridad son preocupantes, esto cae muy por debajo OnePlus '2018 y 2019 infracciones que vio a los datos del usuario ser accedidos activamente por terceros maliciosos. Según el informe, OnePlus ha llevado a cabo una auditoría del sistema de facturación, eliminando cualquier detalle identificativo. Se implementará un nuevo paso de verificación a partir del 6 de julio.