Η Oneplus αποκαλύπτει πως υπεκλάπησαν τα δεδομένα πιστωτικών καρτών 40.000 χρηστών

[sdikr]

Μετά από αναφορές πελατών που αγόρασαν online από το site της OnePlus.net χρησιμοποιώντας χρεωστική/πιστωτική κάρτα, για παράνομες χρεώσεις, η εταιρεία παραδέχθηκε πως ένα από τα συστήματα πληρωμών της έπεσε θύμα παραβίασης με αποτέλεσμα την εισαγωγή κακόβουλου script που υπέκλεπτε τα στοιχεία των καρτών όπως αυτά εισάγονταν στον browser.

Τα θύματα υπολογίζονται στα 40 χιλιάδες και το script ήταν ενεργό από τα μέσα Νοεμβρίου ως τις 11 Ιανουαρίου 2018.

• Όποιος πέρασε στοιχεία κάρτας σε αυτό το διάστημα μάλλον έχει εκτεθεί. ΄
• Όποιος αγόρασε με αποθηκευμένη κάρτα πρέπει να είναι ασφαλής.
• Όποιος αγόρασε με την κάρτα αλλά μέσω Paypal πρέπει να είναι ασφαλής.
• Όποιος αγόρασε μέσω Paypal πρέπει να είναι ασφαλής.

Για λόγους ασφαλείας, έχει απενεργοποιηθεί η πληρωμή μέσω καρτών στο oneplus.net.

Πηγή : OnePlus

[deniSun]

1. Δεν θα έπρεπε να αποθηκεύει τις πληροφορίες της πιστωτικής κάρτας.
2. Δεν θα έπρεπε να δίνει την δυνατότητα της αποθήκευσης των στοιχείων της πιστωτικής.
Όλες οι δοσοληψίες θα έπρεπε να γίνονται μόνο μέσω paypal.

Το τελευταίο για το paypal... " δεν θα πρέπει να επηρεάζονται." τι σημαίνει;
Γιατί πολύ αινιγματικό μου φαίνεται.

[sdikr]

1. Δεν θα έπρεπε να αποθηκεύει τις πληροφορίες της πιστωτικής κάρτας.
2. Δεν θα έπρεπε να δίνει την δυνατότητα της αποθήκευσης των στοιχείων της πιστωτικής.
Όλες οι δοσοληψίες θα έπρεπε να γίνονται μόνο μέσω paypal.

Το τελευταίο για το paypal... " δεν θα πρέπει να επηρεάζονται." τι σημαίνει;
Γιατί πολύ αινιγματικό μου φαίνεται.

Και σε εμένα, στην αρχή είπα μήπως το έκανα λάθος στην μετάφραση, αλλά λεει αυτό, should not

[nnn]

Καλά που αγόρασα με Paypal το 5T.

[badweed]

σε εφαμιλο αρθρο , λεει πως η oneplus το παραδεχτηκε μετα απο καταγγελιες πελατων της .

[puffy]

Καλά που αγόρασα με Paypal το 5T.

μετα οταν λεω πιστωτικη μονο σε αμαζον paypal και τετοιας κλασης καταστηματα, καποιοι με λενε υπερβολικο.
θα καθομαι να παιζω κορωνα γραμματα αν θα χακαριστει η οχι το καθε site και θα αλλαζω καθε χρονο καρτα

[Φανερός Πράκτωρ]

ντροπή στην apple και στις πρακτικές της!!!!

[iLLiCiT]

1. Δεν θα έπρεπε να αποθηκεύει τις πληροφορίες της πιστωτικής κάρτας.
2. Δεν θα έπρεπε να δίνει την δυνατότητα της αποθήκευσης των στοιχείων της πιστωτικής.
Όλες οι δοσοληψίες θα έπρεπε να γίνονται μόνο μέσω paypal.

Το τελευταίο για το paypal... " δεν θα πρέπει να επηρεάζονται." τι σημαίνει;
Γιατί πολύ αινιγματικό μου φαίνεται.

1. Γινόταν "υποκλοπή" των στοιχείων της κάρτας κατά την πληκτρολόγηση της στο site και όχι αν χρησιμοποιούσες κάποια που είχες χρησιμοποιήσει στο παρελθόν.
Γι'αυτό και λέει ότι "Όποιος αγόρασε με αποθηκευμένη κάρτα πρέπει να είναι ασφαλής."
2. Η υποκλοπή γινόταν σε επίπεδο javascript (client side execution) καθώς μιλάμε για "εισαγωγή κακόβουλου script". Κοινώς εσύ πληκτρολογούσες σε ένα text field την κάρτα και το script διάβαζε είτε τα keydowns είτε το ίδιο το text field. Όταν επέλεγες use existing credit card (επειδή συνήθως οι εταιρίες εμφανίζουν τα τελευταία 4 ψηφία μόνο) το script δεν είχε κάτι να κλέψει.

One of our systems was attacked, and a malicious script was injected into the payment page code to sniff out credit card info while it was being entered.
The malicious script operated intermittently, capturing and sending data directly from the user's browser. It has since been eliminated.
We have quarantined the infected server and reinforced all relevant system structures.

Γιατί να προσπαθήσεις να αποκτήσεις πρόσβαση στην βάση δεδομένων, όταν μπορείς να το πάρεις στο input level με το πάσο σου? Smart

[keysmith]

Ποιοι το έκαναν βρήκαν; Hackers ή insiders άραγε;

Τα site τέτοιων εταιριών πρέπει να ψάχνονται σε θέματα ασφάλειας. Αυτό που έγινε είναι πολύ χοντρό..

[MasterofMuppets]

One of our systems was attacked, and a malicious script was injected into the payment page code

Το script θα φαινόταν να προέρχεται από το domain της oneplus άραγες, ή θα ξεχώριζε ώστε να το κόψει το noscript ή το umatrix?

[Brainstorm389]

1. Δεν θα έπρεπε να αποθηκεύει τις πληροφορίες της πιστωτικής κάρτας.
2. Δεν θα έπρεπε να δίνει την δυνατότητα της αποθήκευσης των στοιχείων της πιστωτικής.
Όλες οι δοσοληψίες θα έπρεπε να γίνονται μόνο μέσω paypal.

Το τελευταίο για το paypal... " δεν θα πρέπει να επηρεάζονται." τι σημαίνει;
Γιατί πολύ αινιγματικό μου φαίνεται.

Γιατί μόνο Paypal;

Απλά πρέπει να μην αποθηκεύονται τα στοιχεία της κάρτας του πελάτη και να πληροί κάποια αυστηρά κριτήρια η σελίδα εφόσον η χρέωση γίνεται εντός αυτής και όχι με ανακατευθυνση.

[sdikr]

ντροπή στην apple και στις πρακτικές της!!!!

Παντελώς άσχετο, αλλά ότι σε κάνει ναι νιώθεις καλύτερα είναι και καλό.... λογικά

[eyw]

Ενα ακόμα site hackαρίστηκε, με τις υγείες τους.
Ποιός θα αποζημιώσει τους πελάτες της oneplus για τις παράνομες χρεώσεις?

Ευτυχώς που την χρεωστική ή την προπληρωμένη την γεμίζουμε τελευταία στιγμή και με όσα € χρειάζεται.

για την oneplus -1 minus one και

[Deus]

έλαβα το σχετικό email από την oneplus οτι πιθανόν είμαι ένας από τους 40K τους υπέκλεψαν τα στοιχεια
πάντως από τον δεκέμβριο που έκανα την αγορά δεν είδα κάποια περίεργη χρέωση και από ότι μου είπαν από τη τράπεζα δεν είδαν και κάποια προσπάθεια χρέωσης αλλα για κάθε ενδεχόμενο ακύρωσα την κάρτα
Μερικοί στο forum της oneplus έχουν αναφέρει ότι είτε τους χρέωσαν τις κάρτες η ότι οι κάρτες τους μπλόκαραν από τις τράπεζες όταν έγιναν προσπάθειες χρέωσης μετά από αγορά στο online shop της oneplus

η μονη φορα που χρησιμοποίησα απευθείας κάρτα και όχι paypal για ηλεκτρονική συναλλαγή...

[nnn]

Γιατί μόνο Paypal;

Απλά πρέπει να μην αποθηκεύονται τα στοιχεία της κάρτας του πελάτη και να πληροί κάποια αυστηρά κριτήρια η σελίδα εφόσον η χρέωση γίνεται εντός αυτής και όχι με ανακατευθυνση.

Θεωρητικά και η σελίδα της 1+ ήταν ασφαλής. Στην πράξη ειχε injected script που έκλεβε on the fly τα στοιχεία της κάρτας από τον browser του χρήστη.

Άρα Paypal.