一加海外官网疑遭入侵，用户支付信息泄漏导致信用卡欺诈事件发生

今年一加手机用户的第一个坏消息是，大量的一加手机用户在从一加手机官网（海外）购买产品后举报了欺诈性的信用卡交易。

一加论坛的一位客户最初声明中表示，他在公司官方网站上使用的两张信用卡涉嫌欺诈活动。

“ 在过去的6个月时间里，这些信用卡唯一使用的地方就是一加手机官网。”该用户写道。

后来，很多用户相继在一加论坛，Twitter和Reddit论坛上发表了类似的投诉，称他们也成为信用卡欺诈的受害者。

许多客户声称，他们的信用卡在直接从一加官方网站购买新手机或一些配件后，已经被泄露，表明泄漏可能是通过公司本身。

网络安全公司Fidus也发表了一篇博客文章，详细介绍了一加网站现场支付系统涉嫌的问题。该公司怀疑一加手机网站的服务器可能已经被入侵。

根据Fidus的说法，一加目前正在进行交易，这意味着客户输入的所有账单信息以及所有信用卡信息都会通过一加官方网站进行传输，并可能被攻击者截获。

Fidus写道：“虽然支付细节在提交表单后被发送给第三方提供商，但是在数据被加密之前，还有一个窗口可以让恶意代码抽取信用卡细节。

Fidus继续澄清，他们的调查结果并没有以任何方式证实OnePlus网站被破坏; 相反，他们表示这些攻击可能来自于一加使用的Magento电子商务平台，并且是“信用卡黑客攻击的常见平台”。

一加在其论坛上迅速回应了这个问题，声明它不在其网站上存储任何信用卡信息，所有支付交易都通过其符合PCI-DSS的支付处理合作伙伴进行。

一加的官方服务器上只保存 了“将这张卡用于未来交易”功能的用户的信用卡相关信息，并且这些信息也是经过严格加密的。

“我们的网站是HTTPS加密的，所以拦截流量和注入恶意代码非常困难，同时我们也在进行详细的审计。”一位名为“明宇”的公司员工写道。

中国智能手机制造商也证实，涉及PayPal等第三方服务的采购不受影响。

一加没有透露有关事件的很多信息，但确认其官方网站不受任何Magento漏洞的影响。

该公司确认oneplus.net确实是建立在Magento电子商务上，但自2014年以来，它已经完全使用自定义代码进行重新构建，并补充说：“信用卡支付从未在Magento的支付模块中实现。

在一加论坛上，有近100个欺诈性的信用卡交易索赔。一加宣布对此事进行正式调查，并建议受影响的用户与其银行联系以扭转付款情况。

*参考来源：thehackernews，FB小编Andy编译，转载请注明来自FreeBuf.COM