Reddit和OnePlus论坛上曾报道过OnePlus付款页面遭到攻击的迹象

2020-07-28 17:12:14 来源: INeng财经

大约一周前,我们开始在OnePlus Store客户的每月信用卡和银行帐户对帐单上看到有关欺诈性收费的报告。事实证明,OnePlus网站上发生了一次攻击,涉及将恶意脚本注入到付款页面代码中。在确认了该问题并暂时关闭了其网站上的信用卡付款后,该公司在博客中发布了有关调查的最新信息。

发生了什么?

Reddit和OnePlus论坛上曾报道过OnePlus付款页面遭到攻击的迹象,但是Fidus的研究 人员首先得出以下结论:(1)OnePlus的信用卡支付网关 Cyber​​Source 被黑客入侵,或者(2)网络商店遭到入侵。

最初,OnePlus声称其网站上未进行信用卡处理,并且未在其服务器上存储信用卡信息。但是,公司商店中的付款处理表格容易受到中间人的攻击;黑客可以将恶意JavaScript注入到网页中,从而从中吸取数据。

最重要的是,Fidus 研究人员发现,OnePlus的付款页面不符合英国卡协会的PCI-DSS标准,这与该公司的说法背道而驰。PCI-DSS的要求之一是公司的服务器必须“对持卡人数据和敏感信息在公共网络上的传输进行加密”,但是事实并非如此。

是什么原因造成的?

OnePlus表示其系统遭到了攻击,并且在客户输入时,一个旨在窃听信用卡数据的恶意脚本已被注入到支付页面代码中。该团队了解到,该恶意脚本是间歇性运行的,直接从用户处捕获并发送数据浏览器到非现场服务器。

OnePlus确定了脚本并于本周将其删除,并采取了预防措施,以隔离受感染的服务器并“加强所有相关的系统结构”。但是它说可能有多达40,000个用户受到影响。

谁受到了影响,哪些受到了损害?

该公司表示,从2017年11月中旬到2018年1月11日,使用信用卡从OnePlus商店购买商品的任何客户都可能受到该违规行为的影响。泄露的付款数据包括信用卡号,有效期和安全码,以及完成购买所需的任何其他信息。

不过有一线希望。谁与万普拉斯文件有信用卡,但谁的客户 并没有使这一时限不受影响购买,也不是谁与贝宝支付的用户。

你该怎么办?

如果您最近在OnePlus的网站上购买了商品,并担心您的信息可能被盗,该公司建议您联系其支持团队。另外,如果您发现网站上可能存在的漏洞,建议您发送报告至security@oneplus.net。

OnePlus建议客户检查其银行和信用卡对帐单,并向其银行和/或信用卡发卡机构报告不认识的购买。他们会退款,以防止造成任何经济损失。

OnePlus现在正在做什么?

OnePlus对付款违约表示歉意,并表示对社区识别欺诈性付款方式“永远表示感谢”。该公司表示,该公司正在审查日志并联系可能受到违规影响的人员,并与付款提供商和地方当局合作以防止将来发生事件。

OnePlus还表示,计划在其网站上实施“更安全”的信用卡付款方式,并且正在进行深入的安全审核,以查看攻击者是否还可以利用其他任何漏洞。

现在说还为时过早,但是PCI安全标准委员会可能会对该公司进行调查,原因是该公司未能加密其网站上的付款信息。将来可能会被罚款,甚至可能被禁止支持信用卡付款。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。