Únik dat platebních karet z e-shopu OnePlus byl větší, než se myslelo

V minulém týdnu jsme vás informovali o úniku údajů platebních karet, které byly použity k placení na eshopu společnosti OnePlus. Společnost začala situaci okamžitě řešit a zahájila rozsáhle vnitřní šetření. Jeho výsledkem je mimo jiné zjištění, že počet postižených není 300, jak se původně předpokládalo, ale 40 000.

Šetření ukázalo, že skript, který umožňoval přístup k platebním údajům po zadání do systému, fungoval na jednom ze serverů e-shopu od poloviny listopadu. Skript dokázal zachytit veškeré údaje o platební kartě přímo z okna prohlížeče zákazníka. Audit ve OnePlus odhalil, odkud byla bezpečnost jejího serveru narušena, kritickou chybu opravila a nyní pokračuje pátrání po viníkovi jako takovém. Zatím není jasné, jestli byl útok proveden na dálku, anebo bylo nutné skript na server přímo instalovat.

Skript fungoval přerušovaně, aby nebylo možné jej snadno odhalit. Infikovaný server byl ihned odstaven a dán do karantény. Postižení byli pouze zákazníci, kteří přímo vyplňovali údaje své karty, pokud měli její elektronickou verzi nebo využili platební systém PayPal problém se jich nedotkl.

Společnost oslovila všech 40 000 zasažených zákazníků a nabízí jim mimo jiné bezplatnou službu sledování plateb, která by je mohla ochránit před neautorizovanými transakcemi. Do vyšetřování se zapojila také policie.

Platby platebními kartami zůstanou i nadále v e-shopu OnePlus pozastaveny a měly by být přístupné až po definitivním ukončení šetření. PayPal hodlá před jejich povolením zlepšit svůj vnitřní bezpečnostní systém, aby se podobný problém už neopakoval. Společnost i přes současné problémy hodlá pokračovat ve své marketingové strategii, kdy jediným oficiálním distributorem svých telefonů je ona sama.

Zdroj: theverge.com