Hackerato il sito web di OnePlus: trafugati i dati delle carte di credito

di

Brusco inizio di settimana per OnePlus ed i propri utenti. Secondo quanto riportato da alcuni siti, alcuni hacker avrebbero forzato il sito web della compagnia asiatica, trafugando i dati delle carte di credito degli utenti che hanno acquistato gli smartphone ed accessori direttamente dalla piattaforma di vendita online.

Il tutto è stato effettuato attraverso il forum ufficiale di OnePlus, che include un vero e proprio patrimonio di dati per i propri utenti. I ricercatori hanno notato che i malviventi informatici avrebbero intercettato le informazioni di pagamento degli utenti al momento del pagamento, sfruttando una falla presente nella piattaforma di e-commerce utilizzata da OnePlus, Magento.

A conferma di ciò sono arrivate anche molte denunce da parte degli utenti iscritti al forum e che in precedenza avevano effettuato acquisti, i quali hanno segnalato addebiti non autorizzati sulle proprie carte di credito dopo che queste erano state utilizzate sul forum di OnePlus. Un utente, in particolare, ha riferito di essere stato costretto a bloccare la propria carta di credito a causa dei ripetuti tentativi di utilizzarla per pagamenti vari.

La questione è finita anche su Reddit, su cui è stato creato un thread dedicato che nel giro di 19 ore ha raggiunto quota 642 commenti, contenenti molte segnalazioni.

La società di ricerca Fidus, dopo aver effettuato un tentativo di acquisto, ha affermato quanto segue: "la pagina di pagamento che richiede i dati della carta di credito è ospitata in loco e non è un iFrame che include un modulo presente su un altro sito web. Ciò significa che tutti i dettagli di pagamento inseriti possono essere intercettati da un hacker. Questi vengono inviati ad un provider di terze parti con un modulo di presentazione, ma è anche presente una finestra in cui il codice maligno è in grado di intercettare i dati prima che vengano crittografati".

Secondo Fidus, la piattaforma di eCommerce Magento non sarebbe nuova ad episodi del genere e già in passato sarebbero state scovate altre falle simili.

OnePlus, però, almeno al momento non ha diffuso alcun commento sulla questione.

Hackerato il sito web di OnePlus: trafugati i dati delle carte di credito