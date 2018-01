Luca Colantuoni,

Diversi utenti hanno segnalato sul forum di OnePlus di aver subito il furto dei dati della carta di credito. Ciò sarebbe avvenuto durante la procedura di acquisto degli smartphone. Secondo gli esperti di Fidus, qualcuno ha sfruttato una vulnerabilità presente in Magento eCommerce, ma il produttore cinese ha comunicato che le transazioni non avvengono tramite quella piattaforma dal 2014. Ulteriori dettagli verranno divulgati in seguito.

Alcuni utenti hanno effettuato gli acquisti a fine novembre, altri a dicembre e altri all’inizio di gennaio. In tutti i casi hanno ricevuto dalla banca una notifica relativa a transazioni fraudolente in euro, dollari e sterline. Dato che gli utenti affermano di aver usato la carta solo su OnePlus sembra evidente che il bug sia presente nella piattaforma di pagamento. Fidus afferma che OnePlus usa Magento eCommerce, già in passato bersaglio di frodi online. La società di sicurezza ha notato che la pagina in cui vengono inseriti i dati della carta di credito si trova sul sito del produttore cinese, quindi possono essere intercettati prima dell’invio al gestore dei pagamenti (CyberSource).

Esistono almeno due tecniche documentate che possono essere sfruttare per ottenere i dati della carta di credito, una delle quali prevede l’inserimento di codice JavaScript nella pagina del pagamento, ma tale codice non è stato trovato sul sito OnePlus (Fidus ipotizza che sia stato rimosso). Il secondo metodo richiede l’accesso al server e la modifica di un file. Non è da escludere un attacco informatico contro CyberSource e, in questo caso, il problema sarebbe più grave del previsto.

OnePlus ha pubblicato un post in cui chiarisce che le transazioni non vengono processate né salvate sul sito web, ma inviate direttamente al provider esterno “PCI-DSS-compliant” attraverso una connessione cifrata. La piattaforma Magento eCommerce non viene più utilizzata dal 2014 e comunque i pagamenti non sono mai stati effettuati con il modulo di Magento. Il produttore cinese ha avviato un’indagine per individuare la causa del problema.