OnePlus werd gewaarschuwd voor een kwetsbaarheid die had kunnen leiden tot het lekken van gevoelige gebruikersgegevens, Android politie gemeld op vrijdag.
De kwetsbaarheid werd aangetroffen in een van de factureringssystemen voor reparaties buiten de garantie. Het zou slechts een klein aantal Amerikaanse klanten hebben getroffen en werd beheerd door een derde partij. Android politie heeft OnePlus op de hoogte gesteld van het probleem en met hen samengewerkt om het op te lossen.
Als iemand misbruik zou maken van de kwetsbaarheid, zou hij in feite de gegevens hebben kunnen zien van gebruikers die een reparatie hadden aangevraagd maar de factuur nog moesten betalen. Deze partij zou toegang hebben gehad tot bestelnummers, telefoonmodel, IMEI. besteldatum, naam, adres, telefoonnummer, e-mailadres en reparatiekosten. OnePlus zegt dat creditcardgegevens nooit zijn onthuld.
Verizon biedt de Pixel 4a aan voor slechts $ 10 / maand op nieuwe Unlimited-lijnen
In een verklaring aan Android politie, OnePlus verduidelijkte het probleem door te zeggen:
Op 2 juli werd een kwetsbaarheid verholpen op de website van onze Amerikaanse reparatiedienstverlener. OnePlus-klanten in de VS die moesten betalen voor reparaties die buiten de garantie vallen of die ervoor kozen om te gebruiken ons onlangs gelanceerde omruilprogramma voor garantie hebben een unieke link van derden ontvangen om hun betaling te verwerken. Vanaf het moment dat de betaallink werd gegenereerd en naar de klant gemaild, tot het moment dat de betalingsinformatie werd ingediend, waren de naam, het verzendadres, het e-mailadres, het apparaatmodel en de IMEI van de klant zichtbaar op de koppeling. Zodra de betalingsinformatie van een gebruiker werd ingediend, werd de link onmiddellijk inactief. Om dit proces verder te beveiligen, is begin volgende week een extra verificatiestap vereist.
Na grondig onderzoek samen met onze leverancier hebben we geen bewijs gevonden van doelbewuste pogingen om toegang te krijgen tot deze URL's.
Bovendien waren er nooit enige creditcardgegevens of betalingsinformatie beschikbaar.
De privacy van gebruikers is een topprioriteit voor OnePlus en we bieden onze excuses aan voor eventuele zorgen die dit zou kunnen veroorzaken. We hebben de afgelopen jaren aanzienlijke beveiligingsverbeteringen doorgevoerd op onze eigen platforms en werken er hard aan om deze verder te verbeteren. We zijn ook al onze interne processen aan het verbeteren om sneller te kunnen reageren op externe processen kwetsbaarheden, en zullen onze externe leveranciers nauwer betrekken om de beveiliging op hun platforms.
Hoewel eventuele beveiligingsproblemen zorgwekkend zijn, valt dit ver beneden OnePlus '2018 en 2019 inbreuken die zagen dat gebruikersgegevens actief werden benaderd door kwaadwillende derden. Volgens het rapport heeft OnePlus een audit van het factureringssysteem uitgevoerd, waarbij alle identificerende details zijn verwijderd. Een nieuwe verificatiestap wordt vanaf 6 juli uitgerold.