OnePlus è stato avvisato di una vulnerabilità che avrebbe potuto portare alla fuga di dati sensibili degli utenti, Polizia Android segnalato di venerdì.
La vulnerabilità è stata rilevata in uno dei sistemi di fatturazione delle riparazioni fuori garanzia dell'azienda. Avrebbe interessato solo un piccolo numero di clienti statunitensi ed era gestito da una terza parte. Polizia Android ha notificato a OnePlus il problema e ha collaborato con loro per risolverlo.
In sostanza, se qualcuno avesse sfruttato la vulnerabilità, avrebbe potuto vedere i dati degli utenti che avevano presentato istanza di riparazione ma non avevano ancora pagato la fattura. Detto partito avrebbe avuto accesso a numeri d'ordine, modello di telefono, IMEI. data dell'ordine, nome, indirizzo, numero di telefono, indirizzo e-mail e costo della riparazione. OnePlus afferma che i dettagli della carta di credito non sono mai stati esposti.
Verizon offre Pixel 4a per soli $ 10 / mese sulle nuove linee Unlimited
In una dichiarazione rilasciata a Polizia Android, OnePlus ha chiarito la questione, dicendo:
Il 2 luglio è stata risolta una vulnerabilità sul sito Web del nostro fornitore di servizi di riparazione statunitense. Clienti OnePlus negli Stati Uniti che dovevano pagare per riparazioni fuori garanzia o coloro che hanno scelto di utilizzare al nostro programma di sostituzione della garanzia lanciato di recente è stato inviato un collegamento univoco di terze parti per elaborare il pagamento. Dal momento in cui il collegamento per il pagamento è stato generato e inviato via e-mail al cliente, fino al momento in cui le informazioni di pagamento è stato inviato, il nome del cliente, l'indirizzo di spedizione, l'indirizzo e-mail, il modello del dispositivo e l'IMEI erano visibili in collegamento. Non appena sono state inviate le informazioni di pagamento di un utente, il collegamento è diventato immediatamente inattivo. Per proteggere ulteriormente questo processo, sarà necessario un passaggio di verifica aggiuntivo a partire dall'inizio della prossima settimana.
Dopo un'indagine approfondita insieme al nostro fornitore, non abbiamo trovato prove di tentativi intenzionali di accedere a questi URL.
Inoltre, non sono mai stati accessibili i dettagli della carta di credito o le informazioni di pagamento di alcun tipo.
La privacy degli utenti è una priorità assoluta per OnePlus e ci scusiamo per eventuali dubbi che ciò potrebbe causare. Negli ultimi anni abbiamo apportato miglioramenti significativi alla sicurezza sulle nostre piattaforme e stiamo lavorando diligentemente per migliorarli ulteriormente. Stiamo anche già migliorando i nostri processi interni per rispondere più rapidamente a quelli esterni vulnerabilità e coinvolgerà più da vicino i nostri fornitori di terze parti per garantire una migliore sicurezza su le loro piattaforme.
Sebbene tutte le vulnerabilità di sicurezza siano preoccupanti, questa è molto al di sotto OnePlus '2018 e Violazioni del 2019 che ha visto l'accesso attivo ai dati dell'utente da parte di terze parti dannose Come da report, OnePlus ha effettuato un audit del sistema di fatturazione, eliminando ogni dato identificativo. Un nuovo passaggio di verifica verrà implementato dal 6 luglio.