Fredag har OnePlus bekræftet, at mindst 40,000 af sine kunder kan have været påvirket af sikkerhedsbrist. Det afslørede, at kreditkortoplysningerne for disse brugere blev kompromitteret, efter dets systemer blev hacket, der tvang virksomheden til at stoppe med at acceptere kreditkortbetalinger i sin onlinebutik tidligere på ugen.
Virksomheden sagde, at der blev injiceret en ondsindet kode i deres betalingssidekode efter målretning mod et af deres systemer i et forsøg på at stjæle kreditkortoplysninger, mens det blev indtastet af brugerne på webstedet til betaling. Det ondsindede script var derefter i stand til at registrere og sende fulde kreditkortoplysninger, herunder deres kortnumre, udløbsdatoer og sikkerhedskoder, direkte fra brugerens browservindue.
OnePlus sendte fredag en e-mail til dem, der muligvis var berørt, idet de sagde, at 40,000 eller en "lille delmængde" af den samlede kundebase "potentielt var påvirket af en ukendt hacker mellem midten af november 2017 og den 11. januar 2018. Det rådede dem også til at holde øje med deres bankkontoudtog for falske afgifter eller se på at annullere deres betalingskort.
Åbenbaringen kom en uge efter mange kunder rapporterede falske transaktioner på deres kreditkort, som de brugte til at købe OnePlus-produkter via virksomhedens officielle hjemmeside - oneplus.net. Senere havde den kinesiske telefonproducent undersøgt sagen med et tredjeparts sikkerhedsagentur.
"Vi har sat den inficerede server i karantæne og forstærket alle relevante systemstrukturer," sagde OnePlus i et forumindlæg, der beskriver resultaterne. "Vi er i kontakt med potentielt berørte kunder og arbejder sammen med vores udbydere og lokale myndigheder for at tackle hændelsen bedre."
Virksomheden mener dog, at kunder, der handlede på sit websted ved hjælp af deres gemte kreditkort, PayPal-konto eller "Kreditkort via PayPal" -metoden påvirkes ikke af overtrædelsen.
OnePlus undersøger stadig hændelsen og forpligtede sig til at gennemføre en dybtgående sikkerhedsrevision for at identificere, hvordan hackere med succes lykkedes at indsprøjte det ondsindede script i sine servere. Virksomheden undersøger også at tilbyde et års abonnement på gratis kreditovervågningstjeneste til alle berørte kunder.
I mellemtiden forbliver kreditkortbetalinger suspenderet i OnePlus.net-butikken, indtil undersøgelsen er afsluttet, selvom brugerne kan foretage køb via PayPal.
