一加海外官網疑遭入侵，用戶支付信息泄漏導致信用卡欺詐

今年一加手機用戶的第一個壞消息是，大量的一加手機用戶在從一加手機官網（海外）購買產品後舉報了欺詐性的信用卡交易。

一加論壇的一位客戶最初聲明中表示，他在公司官方網站上使用的兩張信用卡涉嫌欺詐活動。

「 在過去的6個月時間裡，這些信用卡唯一使用的地方就是一加手機官網。」該用戶寫道。

後來，很多用戶相繼在一加論壇，Twitter和Reddit論壇上發表了類似的投訴，稱他們也成為信用卡欺詐的受害者。

許多客戶聲稱，他們的信用卡在直接從一加官方網站購買新手機或一些配件後，已經被泄露，表明泄漏可能是通過公司本身。

網路安全公司Fidus也發表了一篇博客文章，詳細介紹了一加網站現場支付系統涉嫌的問題。該公司懷疑一加手機網站的伺服器可能已經被入侵。

根據Fidus的說法，一加目前正在進行交易，這意味著客戶輸入的所有賬單信息以及所有信用卡信息都會通過一加官方網站進行傳輸，並可能被攻擊者截獲。

Fidus寫道：「雖然支付細節在提交表單後被發送給第三方提供商，但是在數據被加密之前，還有一個窗口可以讓惡意代碼抽取信用卡細節。

Fidus繼續澄清，他們的調查結果並沒有以任何方式證實OnePlus網站被破壞; 相反，他們表示這些攻擊可能來自於一加使用的Magento電子商務平台，並且是「信用卡黑客攻擊的常見平台」。

一加在其論壇上迅速回

應了這個問題

，聲明它不在其網站上存儲任何信用卡信息，所有支付交易都通過其符合PCI-DSS的支付處理合作夥伴進行。

一加的官方伺服器上只保存 了「將這張卡用於未來交易」功能的用戶的信用卡相關信息，並且這些信息也是經過嚴格加密的。

「我們的網站是HTTPS加密的，所以攔截流量和注入惡意代碼非常困難，同時我們也在進行詳細的審計。」一位名為「明宇」的公司員工寫道。

中國智能手機製造商也證實，涉及PayPal等第三方服務的採購不受影響。

一加沒有透露有關事件的很多信息，但確認其官方網站不受任何Magento漏洞的影響。

該公司確認oneplus.net確實是建立在Magento電子商務上，但自2014年以來，它已經完全使用自定義代碼進行重新構建，並補充說：「信用卡支付從未在Magento的支付模塊中實現。

在一加論壇上，有近100個欺詐性的信用卡交易索賠。一加宣布對此事進行正式調查，並建議受影響的用戶與其銀行聯繫以扭轉付款情況。

*參考來源：thehackernews，FB小編Andy編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！