Clientes da OnePlus são alvos de fraude no cartão de crédito

A temporada de Natal foi um dos focos da OnePlus na venda, principalmente, de smartphones, de forma a solidificar sua presença no mercado mobile. Entretanto, ao que tudo indica, a época também foi gorda para os hackers, com diversos clientes da marca chinesa afirmando que tiveram os dados de seus cartões de créditos roubados após realizarem compras no site oficial da companhia.

Os relatos estão tomando conta do site oficial de suporte da OnePlus e também aparecem com frequência no Reddit. Em ambos, as histórias coincidem: os usuários afirmam terem descoberto transações não autorizadas em seus cartões de crédito após a realização de compras no site da OnePlus, o que indicaria que seus dados podem ter sido interceptados por terceiros, um indicativo de graves falhas de segurança no e-commerce da companhia.

Uma análise de segurança feita pela Fidus, uma empresa especializada em segurança digital, corroborou tais afirmações ao descobrir que todos os dados financeiros dos clientes passam pelos próprios domínios da empresa, mesmo que ela não seja a responsável pelo processamento do pagamento, que é feito por uma empresa chamada CyberSource.

Ainda assim, apontam os especialistas, essa dinâmica é passível de invasão caso, por exemplo, um criminoso obtivesse acesso aos servidores da companhia. Bastaria a colocação de um JavaScript no local correto (neste caso, a página de preenchimento de informações) para que os dados dos clientes fossem interceptados antes de serem enviados para o processamento, colocando todos os detalhes financeiros nas mãos de terceiros não autorizados.

Para a Fidus, não há razões para não pensar que esse é o vetor pelo qual as informações dos clientes estão sendo obtidas. Não existem indícios de vazamento ou brecha nos bancos de dados da companhia, em mais um indicativo de que se trata de uma operação localizada e, quem sabe, até direcionada em uma das épocas mais movimentadas do ano em termos de vendas.

Revés para a companhia

Em comunicado oficial, a OnePlus não confirmou nem negou que seu site foi o vetor dos ataques, afirmando estar conduzindo investigações para localizar a origem da brecha. Desde já, entretanto, deixou claro que não se tratam dos mesmos problemas encontrados em 2014, quando o domínio foi apontado como vulnerável a ataques. Desde então, afirmou a companhia, todo o ambiente foi refeito de forma dedicada a trazer o máximo de segurança possível aos clientes.

Trata-se de mais um problema de segurança para a OnePlus, que tem aparecido nas páginas do noticiário de tecnologia de maneira bastante negativa. Na última semana, especialistas em segurança informaram que alguns aparelhos da companhia, rodando uma versão ainda preliminar do Android Oreo, estariam enviando informações de seus usuários para a gigante chinesa Alibaba sem a devida autorização.

Além disso, em novembro, uma ferramenta de diagnóstico da fabricante, que deveria ser acessível apenas durante o processo de fabricação e testes dos aparelhos, estava disponível também em versões finais dos smartphones, representando uma porta aberta para hackers. A partir dela, aplicativos maliciosos poderiam ganhar acesso ao sistema operacional e, na sequência, roubar os dados dos usuários. Em ambos os casos, a OnePlus se pronunciou oficialmente pedindo desculpas aos usuários e liberou atualizações corretivas.

Fonte: The Register, Fidus