OnePlus a été alerté d'une vulnérabilité qui aurait pu entraîner la fuite de données sensibles des utilisateurs, Police Android signalé le vendredi.
La vulnérabilité a été découverte dans l'un des systèmes de facturation des réparations hors garantie de l'entreprise. Il n'aurait jamais affecté qu'un petit nombre de clients américains et était géré par un tiers. Police Android a informé OnePlus du problème et a travaillé avec eux pour le résoudre.
En substance, si quelqu'un exploitait la vulnérabilité, il aurait pu voir les données des utilisateurs qui avaient demandé une réparation mais n'avaient pas encore payé la facture. Ladite partie aurait eu accès aux numéros de commande, au modèle de téléphone, à l'IMEI. date de la commande, nom, adresse, numéro de téléphone, adresse e-mail et coût de la réparation. OnePlus affirme que les détails de la carte de crédit n'ont jamais été exposés.
Verizon propose le Pixel 4a pour seulement 10 $ / mois sur les nouvelles lignes illimitées
Dans une déclaration faite à Police Android, OnePlus a clarifié le problème en disant:
Le 2 juillet, une vulnérabilité a été corrigée sur le site Web de notre fournisseur de services de réparation américain. Les clients OnePlus aux États-Unis qui devaient payer pour des réparations hors garantie ou ceux qui ont choisi d'utiliser notre programme d'échange de garantie récemment lancé a reçu un lien tiers unique pour traiter leur paiement. À partir du moment où le lien de paiement a été généré et envoyé par courrier électronique au client, jusqu'au moment où les informations de paiement a été soumis, le nom, l'adresse de livraison, l'adresse e-mail, le modèle de l'appareil et l'IMEI de ce client étaient visibles sur le lien. Dès que les informations de paiement d'un utilisateur ont été soumises, le lien est immédiatement devenu inactif. Pour sécuriser davantage ce processus, une étape de vérification supplémentaire sera nécessaire à partir du début de la semaine prochaine.
Après une enquête approfondie avec notre fournisseur, nous n'avons trouvé aucune preuve de tentatives intentionnelles d'accès à ces URL.
De plus, aucun détail de carte de crédit ni aucune information de paiement de quelque nature que ce soit n'a jamais été accessible.
La confidentialité des utilisateurs est une priorité absolue pour OnePlus, et nous nous excusons pour tout problème que cela pourrait causer. Nous avons considérablement amélioré la sécurité de nos propres plates-formes ces dernières années et travaillons avec diligence pour continuer à nous améliorer. Nous améliorons également déjà nos processus internes pour répondre plus rapidement aux vulnérabilités, et impliquera plus étroitement nos fournisseurs tiers pour mieux assurer la sécurité sur leurs plates-formes.
Bien que les vulnérabilités de sécurité soient préoccupantes, cela tombe bien en dessous OnePlus '2018 et Brèches de 2019 qui a vu les données des utilisateurs être activement consultées par des tiers malveillants. Selon le rapport, OnePlus a effectué un audit du système de facturation, en supprimant tous les détails d'identification. Une nouvelle étape de vérification sera déployée à partir du 6 juillet.