OnePlus ilmoitettiin haavoittuvuudesta, joka olisi voinut johtaa arkaluonteisten käyttäjätietojen vuotamiseen, Android-poliisi raportoitu perjantaina.
Haavoittuvuus havaittiin yhdessä yrityksen takuun ulkopuolisista korjauslaskujärjestelmistä. Se olisi koskaan vaikuttanut vain pieneen määrään yhdysvaltalaisia asiakkaita, ja sitä johti kolmas osapuoli. Android-poliisi ilmoitti OnePlusille ongelmasta ja työskenteli heidän kanssaan sen ratkaisemiseksi.
Pohjimmiltaan, jos joku hyödyntäisi haavoittuvuutta, hän olisi voinut nähdä niiden käyttäjien tiedot, jotka olivat jättäneet korjauksen mutta jotka eivät olleet vielä maksaneet laskua. Mainitulla osapuolella olisi ollut pääsy tilausnumeroihin, puhelinmalliin, IMEI: hen. tilauspäivä, nimi, osoite, puhelinnumero, sähköpostiosoite ja korjauskustannukset. OnePlus sanoo, että luottokorttitietoja ei koskaan paljastettu.
Verizon tarjoaa Pixel 4a: n vain 10 dollaria kuukaudessa uusille rajoittamattomille linjoille
Annetulle lausunnolle Android-poliisi, OnePlus selvensi asiaa sanoen:
2. heinäkuuta Yhdysvaltojen korjauspalveluntarjoajamme verkkosivustolle korjattiin heikkous. Yhdysvalloissa olevat OnePlus-asiakkaat, joiden oli maksettava takuun ulkopuolisista korjauksista tai jotka päättivät käyttää äskettäin käynnistetylle takuuvaihto-ohjelmallemme lähetettiin ainutlaatuinen kolmannen osapuolen linkki maksun käsittelemiseksi. Siitä hetkestä lähtien, kun maksulinkki luotiin ja lähetettiin sähköpostilla asiakkaalle, aina maksutietojen ajankohtaan lähetettiin, asiakkaan nimi, toimitusosoite, sähköpostiosoite, laitemalli ja IMEI olivat näkyvissä linkki. Heti kun käyttäjän maksutiedot lähetettiin, linkki muuttui heti passiiviseksi. Tämän prosessin turvaamiseksi tarvitaan uusi vahvistusvaihe, joka alkaa ensi viikon alusta.
Yhdessä toimittajan kanssa suoritetun perusteellisen tutkinnan jälkeen emme ole löytäneet todisteita tarkoituksellisista yrityksistä käyttää näitä URL-osoitteita.
Lisäksi mitään luottokorttitietoja tai minkäänlaisia maksutietoja ei koskaan ollut saatavilla.
Käyttäjien yksityisyys on OnePlus-ohjelman ensisijainen tavoite, ja pahoittelemme tämän mahdollisesti aiheuttamia huolenaiheita. Olemme tehneet merkittäviä turvallisuusparannuksia omilla alustoillamme viime vuosina ja työskentelemme ahkerasti parantamiseksi edelleen. Kehitämme myös jo sisäisiä prosessejamme vastaamaan nopeammin ulkoisiin haavoittuvuuksia ja sitouttaa läheisemmin kolmansien osapuolten toimittajiamme varmistamaan tietoturvan paremmin niiden alustoilla.
Vaikka mahdolliset tietoturva-aukkoja koskevatkin, tämä jää selvästi alle OnePlus 2018 ja Vuoden 2019 rikkomukset jonka mukaan haitalliset kolmannet osapuolet käyttivät aktiivisesti käyttäjätietoja. Raportin mukaisesti OnePlus on suorittanut laskutusjärjestelmän auditoinnin poistamalla kaikki tunnistetiedot. Uusi vahvistusvaihe otetaan käyttöön 6. heinäkuuta alkaen.