24/04
OnePlus, fraude à la carte de crédit sur sa boutique en ligne ?
OnePlus semble être victime d’un piratage de sa boutique de vente en ligne. Plusieurs clients se sont plaints d’opérations frauduleuses suite à un paiement sur leur site.
Sur les forums de la marque qui vend ses terminaux exclusivement en ligne, depuis quelques jours, des clients se plaignent de voir leur carte de paiement utilisée de manière frauduleuses après avoir réalisé un achat.
Le constructeur a lancé un audit de sécurité de son processus de paiement en ligne et publié un post sur son forum pour rassurer les clients concernés.
- Le problème ne touche que les personnes ayant payé directement sur le site oneplus.net. Les clients ayant acheté leur terminal en utilisant un service tiers (type PayPal) ne semblent pas concernés par les fraudes.
- Les informations liées aux cartes de crédit ne sont jamais stockées sur les serveurs de OnePlus et directement envoyées par une connexion sécurisée à leur partenaire de traitement des paiements.
- OnePlus utilise Magento et aurait pu être touché par le bug de la plateforme de commerce en ligne, mais “les paiements par carte de crédit n’ont jamais été implémentés dans le module de paiement de Magento”.
Des chercheurs de Fidus Information Security qui se sont penchés sur la question considèrent que "le problème se produit à cause de la page de paiement "qui demande que les détails de la carte du client soient hébergés sur le SITE et non sur un iFrame par un tiers. Cela permet aux informations de carte de crédit d’être brièvement stockées sur le site avant d’être envoyées à un fournisseur de paiement tiers. Ce bref moment est suffisant pour qu’un pirate puisse intercepter et stocker les détails de la carte de crédit."
Un seul conseil donc, si vous avez utilisé oneplus.net pour commander votre smartphone, vérifiez vos relevés de compte et contactez votre banque dans le cas de prélèvements suspects. OnePlus a également mis en place un mail pour toutes questions relative à la sécurité security(arobase)oneplus.net