OnePlus deixa de aceitar pagamentos com cartões de crédito

Rui Bacelar
Rui Bacelar
Tempo de leitura: 4 min.

A OnePlus pode ter sido afetada por uma grava falha de segurança no seu portal de pagamentos. Depois de termos site oficial da OnePlus, os seus cartões foram usados sem o seu conhecimento para várias compras.

Vê ainda: d

Ainda não é certo se a OnePlus tem alguma culpa neste caso. Todavia, ontem acabou por publicar, no seu fórum oficial, um tópico explicando o funcionamento do seu sistema de pagamentos. Aproveitariam também para anunciar uma investigação geral ao assunto.

OnePlus suspende os pagamentos com cartões de crédito

As conclusões da Fidus mostram-nos dois possíveis cenários. O primeiro consiste na possibilidade do portal de pagamentos utilizado pela OnePlus, o CyberSource ter sido hackeado, estando a sua segurança comprometida. O segundo cenário sugere que a própria OnePlus terá sido hackeada. Qual deles se verifica para já não sabemos. Tudo dependerá da investigação em curso.

Em sua defesa, a OnePlus afirma que o processamento dos pagamentos através de cartões de crédito não ocorre no seu website. " A vossa informação dos cartões de crédito nunca é processada ou armazenada no nosso website. É enviada diretamente para a plataforma de pagamentos com certificado PCI-DSS com a qual temos uma parceria. Esta transmissão é mediada por uma ligação encriptada. Em seguida o pagamento é processado nos seus servidores seguros". Declarações de um porta-voz da OnePlus nos seus fóruns oficiais.

"O nosso website é encriptado via HTTPS portanto é muito difícil interceptar algum tráfego e injectar código ilícito. Contudo, estamos a efetuar uma investigação completa", acrescenta este funcionário da empresa.

Site da da OnePlus possui encriptação HTTPS

Todavia, a plataforma de pagamentos da OnePlus está alojada no seu website. Isto segundo nos conta a Fidus. Ora, um meliante com acesso à página poderia injectar algum código ilícito. Algum JavaScript que fosse sugando alguns dados a partir do site.

Os investigadores não conseguiram ver e analisar o código fonte do portal de pagamentos com cartões de crédito uma vez que os crawlers não o tinham indexado. Contudo e apesar de não terem encontrado indícios de que estaríamos perante uma injecção de código JavaScript essa hipótese é tida como possível.

Investigação está em curso, a OnePlus quer chegar ao cerne da questão

Os investigadores sugerem ainda que a página de pagamentos da OnePlus não cumpre os requisitos do padrão PCI-DSS da UK Cards Association contrariamente ao que a empresa afirma.

Note-se que PCI-DSS é um acrónimo para Payment Card Industry Data Security Standard. Por outras palavras, o padrão de segurança para pagamentos com cartões. Avalia um total de 12 pontos ou requisitos num total de 6 categorias que as empresas devem preencher para receber esta certificação.

A Fidus depositou também alguma ênfase na possibilidade de a OnePlus ter sido vítima de uma séria falha na segurança. O perigo vai além da fraude com cartões de crédito caso esta hipótese se verifique. Em causa estaria o plugin Magento eCommerce da CyberSpace. A grande vulnerabilidade deste plugin consiste no ficheiro cc.php. Ficheiro usado para guardar os detalhes dos cartões de crédito do utilizador.

Esquema proposto para o acesso aos dados dos cartões de crédito

A Magento já foi vítima de vários ataques ao longo dos últimos anos, um dos quais deixou mais de 200 mil lojas e plataformas de compras vulneráveis a um ataque.

Mais uma vez, a OnePlus afirma que nunca utilizou o plugin Magento para processar os pagamentos mediante cartões de crédito. "OnePlus.net estava inicialmente configurado para utilizar a plataforma Magento eCommerce. Contudo, desde 2014 que estamos a reconstruir todo o nosso website código original e personalizado. (...) Portanto não devemos ser afetados". Declarações do porta-vos da OnePlus nos seus fóruns oficiais.

Já relativamente à página de pagamentos com cartões de crédito no site oficial da OnePlus, lá encontramos a opção de "guardar este cartão para futuras compras". Aqui a marca afirma que esses dados são geridos por outros servidores que não os da OnePlus.

Pagamentos com cartões de crédito foram desativados

Importa frisar que ainda não tivemos qualquer confirmação de que terá existido uma brecha na segurança. Se estás preocupado com a segurança dos pagamentos na página oficial da OnePlus utiliza o PayPal.

Caso estejas preocupado com uma possível utilização indevida do teu cartão de crédito após teres feito pagamentos ou transações no site da OnePlus então contacta imediatamente a tua instituição bancária.

Fica atento a qualquer movimento ou pagamentos suspeitos efetuados a partir dos teus cartões de crédito. Desta forma poderás precaver qualquer situação ilícita e/ ou fraudulenta.

Assuntos relevantes na 4gnews:

Passatempo: Não percas tempo e ganha um Apple iPad Air

atinge novo marco histórico e revela os planos para 2018

alaxy S9 – abertura variável da câmara, sabes o que é?

Via

Rui Bacelar
Rui Bacelar
O Rui ajudou a fundar o 4gnews em 2014 e desde então tornou-se especialista em Android. Para além de já contar com mais de 12 mil conteúdos escritos, também espalhou o seu conhecimento em mais de 300 podcasts e dezenas de vídeos e reviews no canal do YouTube.