La crise s'aggrave chez OnePlus. Alors que des soupçons planaient la semaine dernière sur une éventuelle faille de sécurité affectant la boutique en ligne du fabricant de smartphones chinois, ils ont finalement été confirmés. Dans un billet, OnePlus a en effet reconnu que les plaintes de clients, qui lui ont fait remonter des transactions bancaires suspectes après des achats effectués sur son site oneplus.net, sont en effet bien fondées. « Nous sommes profondément au regret d'annoncer que nous avons bien été attaqués, et que jusqu'à 40 000 utilisateurs de oneplus.net peuvent être touchés par cet incident », indique la société dans un forum. « Nous avons envoyé un e-mail aux personnes possiblement concernées ».
OnePlus a fourni des explications sur ce qui s'est passé : « L'un de nos systèmes a été affecté, et un script malveillant a été injecté dans le code de la page de paiement pour aspirer des données de cartes de crédit ». Une explication qui intervient quelques jours après avoir indiqué « qu'il est très difficile d'intercepter du trafic et d'injecter du code malveillant ». Difficile mais pas impossible donc... Le script malveillant permettant la capture et l'envoi de données personnelles bancaires a été éliminé et le serveur infecté mis en quarantaine, sachant que les autres systèmes ont vu leur sécurité renforcée.
Les transactions entre mi-novembre 2017 et le 11 janvier 2018 concernées
Les personnes potentiellement affectées par cet incident de sécurité sont celles ayant passé commande sur le site oneplus.net entre la mi-novembre 2017 et le 11 janvier 2018, sachant que ceux ayant utilisé une carte bancaire pré-enregistrée ne seraient apparemment pas concernés, tout comme ceux ayant utilisé PayPal. Il est plus que conseillé aux personnes ayant passé commande durant cette période et entré dans le système de paiement oneplus.net leurs informations bancaires d'être très vigilants et de prévenir leurs banques de possibles transactions douteuses.
« Nous travaillons avec nos fournisseurs et les autorités locales pour traiter au mieux cet incident », poursuit OnePlus. « Nous travaillons également avec nos fournisseurs de paiement actuels pour implémenter une méthode de paiement par carte bancaire plus sécurisée en même temps qu'un audit de sécurité complet. Ces mesures vont nous permettre d'éviter que de nouveaux incidents de ce type ne surviennent à l'avenir. »