OnePlus海外官网被黑 信用卡信息被盗

中国智能型手机制造商的几个客户在OnePlus公司网络商店购物后声称是信用卡交易诈骗的受害者。

大量OnePlus使用者声称在这间中国智能型手机制造商的官方网站上购物后，就成为信用卡交易诈骗的受害者。

在支持论坛和Reddit上回报了数十起案件，客户从OnePlus官方网站购买智能型手机或一些配件后，信用卡已经被盗用，表明它被攻击者入侵。

『我用两张不同的信用卡购买了两部手机，第一部在2017年11月26日，第二部在2017年11月28日。昨天我被通知其中一张卡疑似进行诈骗活动，我登入了信用卡网站，确认有多笔交易，我并不是唯一这样主张的受害者。这两张信用卡在过去6个月中唯一使用的地方是OnePlus网站。』

Fidus的安全研究员在阅读了官方论坛上的声明之后分析了付款页面，并发现在网站上代管的卡片详细信息是可被攻击并曝露的。

Fidus发布的部落格文章：『我们透过OnePlus网站上的付款流程来了解发生了什么事情。有趣的是，请求客户卡详细信息的支付页面是采用代管的。这意味着输入的所有付款细节虽然简单，但却可以透过流入OnePlus网站时，可以被攻击者拦截。尽管支付细节在提交窗体时被发送给第三方供货商，但是在数据被加密之前，还有一个窗口可以让恶意代码抽取信用卡信息。』

专家推测公司网站的服务器可能已经被入侵，攻击者可能利用OnePlus所使用的Magento电子商务平台的一些漏洞。

诈骗份子从偷取Magento商店的信用卡有两种方法：

1

在客户端使用JavaScript。恶意的Javascript放在网页上，导致客户的机器悄悄地发送一个包含支付数据的精心制作的请求到攻击者控制的服务器。分析OnePlus网站上的付款页面的研究员没有发现任何恶意的Javascript被使用。

2

第二种方法依赖于透过对服务器的shell存取来修改app/code/core/Mage/Payment/Model/Method/Cc.php档案。Cc.php档案处理电子商务网站上信用卡的详细信息的储存。无论实际上是否保存了信用卡的详细信息，该档案都被呼叫。攻击者将程序代码注入到这个档案中来吸取数据。

OnePlus宣称不在其网站上储存任何信用卡数据，所有支付交易都透过支付处理合作伙伴进行。

该公司发表的声明：『在OnePlus，我们非常重视信息隐私。周末时，OnePlus社群的会员回报了从oneplus.net信用卡购物后发生的未知信用卡交易案例。我们立即开始调查，作为紧急事项，并会持续更新消息。』

『不会。您的信用卡绝不会在我们的网站上进行处理或储存，而是透过加密连结直接发送给符合PCI-DSS的付款处理合作伙伴，并在其安全服务器上进行处理。』

『这间中国智能型手机制造商也确认，涉及PayPal等第三方服务的采购不受影响。』

OnePlus排除了其网站受到任何Magento漏洞的影响，自2014年以来，它已完全使用自定义程序代码重新建立。