OnePlus – Nhà sản xuất thiết bị di động thông minh tại thâm quyến trung quốc đã phủ nhận việc trang thanh toán của mình bị tin tặc tấn công thông qua lỗ hổng trên Magento. Báo cáo của OnePlus đã trả lời cho việc một số khách hàng thông báo về những vụ gian lận thẻ tín dụng sau khi mua điện thoại OnePlus từ trang chính OnePlus.net trong khoảng thời gian từ giữa tháng 10 đến giữa tháng 12 năm 2017.
Theo bài post của nickname “superdutynick” tại diễn đàn (forums.oneplus.net) đã viết: “Tôi mua hai chiếc điện thoại bằng hai thẻ tín dụng khác nhau,cái đầu tiên mua tại thời điểm 26/11/2017 và cái thứ hai vào ngày 28/11/2017. Ngày hôm sau, tôi phát hiện ra một chiếc thẻ tín dụng có hành vi nghi ngờ, tôi truy cập vào thẻ tín dụng và thấy rằng có rất nhiều giao dịch mà tôi không tạo ra”.
Bài viết thứ hai của superdutynick nguyên văn như sau: “Ngày hôm nay, mọi chuyện lại xảy ra tương tự với chiếc thẻ còn lại. Tôi không sử dụng những thẻ này một cách thường xuyên. Hai thẻ này chỉ được tôi sử dụng để mua điện thoại tại trang chủ của OnePlus và không thực hiện bất kỳ giao dịch nào trong 6 tháng gần nhất”.
Ngoài ra, còn có một nickname tên là “adrianlamkh” báo cáo sự cố tương tự khi có những giao dịch bất thường sau khi thực hiện mua điện thoại bằng thẻ tín dụng từ trang chủ OnePlus. Không những thế, rất nhiều người dùng reddit cũng gặp trường hợp tương tự với thẻ tín dụng khi thực hiện mua điện thoại OnePlus.
PHÁT HIỆN CỦA CÔNG TY BẢO MẬT
Mặt khác, công ty bảo mật Fidus Infosecurity Limited tại Anh đã công bố thông tin về cuộc điều tra của mình khi đã phát hiện ra trang thanh toán của OnePlus đang sử dụng nền tảng thương mại điện tử Magento đã bị khai thác bởi tin tặc. Gần nhất là trang web của BlackBerry cũng sử dụng nền tảng tương tự bị tin tặc tấn công và cài đặt mã Coinhive – công cụ đào tiền ảo bằng CPU thông qua trình duyệt.
Tuy nhiên, trong báo cáo của Fidus chỉ nhấn mạnh đến cấu trúc dễ bị tổn thương hiện tại của quá trình thanh toán và cách nó có thể bị khai thác cho phép tin tặc đạt được những mục tiêu nguy hiểm hơn so với việc xác nhận rằng OnePlus có bị khai thác qua lỗi này hay không.
Các chuyên gia bảo mật phân tích quá trình thanh toán trên trang chủ OnePlus đã phát hiện trang thanh toán yêu cầu thông tin thẻ tín dụng của khách hàng và lưu trữ thông tin này tại chỗ cũng như không cung cấp iFrame tích hợp với bộ xử lý thanh toán.
Điều này có nghĩa rằng tất cả thông tin chi tiết thanh toán được gửi qua trang web OnePlus có thể bị tin tặc chặn bắt. Ngoài ra, trong khi các chi tiết thanh toán được gửi đến nhà cung cấp dịch vụ bên thứ ba theo biểu mẫu thì tin tặc có thể nhúng thêm các chi tiết trước khi nó được mã hóa để gửi đi.
![OnePlus phủ nhận báo cáo trang thanh toán của mình bị hack lấy thông tin thẻ tín dụng khách hàng]( "OnePlus phu nhan bao cao trang thanh toan cua minh bi hack lay thong tin the tin dung khach hang")
Hơn nữa, chuyên gia bảo mật còn phát hiện được hai vấn đề trong trang thanh toán này đó là :
1. OnePlus không tuân thủ PCI(tiêu chuẩn kỹ thuật và hoạt động mà doanh nghiệp phải tuân thủ nhằm đảm bảo rằng dữ liệu của chủ thẻ được bảo vệ) và không quan tâm đến vấn đề đó.
2. Công ty tuyên bố không xử lý bất kỳ khoản thanh toán thẻ nào mà thanh toán bằng thẻ sẽ được xử lý thông qua một công ty quản lý thanh toán thẻ tín dụng thương mại điện tử. Tuy nhiên, những mẫu xử lý thanh toán thẻ điện tử vẫn được lưu trữ trên cơ sở hạ tầng của OnePlus.
Fidus cho biết tin tặc có hai cách để thực hiện đánh cắp dữ liệu thẻ tín dụng của khách hàng bằng cách đặt Javascript lên phía máy người dùng hoặc sửa đổi tệp tin Cc.php (việc này đòi hỏi phải có quyền truy cập vào máy chủ). Tuy nhiên, Fidus đã không tìm thấy bất kỳ đoạn mã javascript độc hại nào trên trang chủ của OnePlus.
NGƯỜI DÙNG ONEPLUS CẦN THẬN TRỌNG
Để đáp lại khiếu nại này của người dùng, nhân viên Mingyu của OnePlus cho biết công ty không lưu hoặc xử lý bất kỳ thông tin thẻ tín dụng của khách hàng trên trang web của OnePlus. Nguyên văn Mingyu viết rằng : “thông tin thẻ tín dụng được gửi trực tiếp đến đối tác xử lý thanh toán dựa trên PCI-DSS của chúng tôi qua một kết nối được mã hóa và được xử lý trên máy chủ của họ”.
Người dùng OnePlus cần phải cảnh giác và chú ý theo dõi thông tin giao dịch xuất hiện trênthẻ tín dụng của mình và xác nhận ngay lập tức với ngân hàng bất kỳ hoạt động giao dịch nghi ngờ nào. Đối với người dùng OnePlus thực hiện giao dịch mua thiết bị trên trang web bằng thẻ tín dụng cần liên lạc ngay với ngân hàng để điều tra và xem xét lại toàn bộ giao dịch.
ĐÂY KHÔNG PHẢI LẦN ĐẦU TIÊN
Đây không phải lần đầu tiên OnePlus gặp phải các vấn đề về các sự cố bị tin tặc tấn công. Trong tháng 8 năm ngoái, một lỗ hổng bảo mật nghiêm trọng có tên là QuadRooter đã tác động đến hàng triệu thiết bị Android trong đó có OnePlus 1, OnePlus 2 và OnePlus 3.
Ngoài ra, trong tháng mười một, chuyên gia bảo mật còn tìm thấy thiết bị OnePlus có chứa backdoor cho phép tin tặc theo dõi và thu thập dữ liệu người dùng mà không cần bất kỳ sự tương tác nào từ phía người dùng.
Theo HackRead