2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標明“本站原創(chuàng)”外所有信息均轉載自互聯(lián)網(wǎng) 版權歸原作者所有。
大約一周前,我們開始在OnePlus Store客戶的每月信用卡和帳戶對帳單上看到有關欺詐性收費的報告。事實證明,OnePlus網(wǎng)站上發(fā)生了一次攻擊,涉及將惡意腳本注入到付款頁面代碼中。在確認了該問題并暫時關閉了其網(wǎng)站上的信用卡付款后,該公司在博客中發(fā)布了有關調(diào)查的最新信息。
發(fā)生了什么?
Reddit和OnePlus論壇上曾報道過OnePlus付款頁面遭到攻擊的跡象,但是Fidus的研究 人員首先得出以下結論:(1)OnePlus的信用卡支付網(wǎng)關 Cyber??Source 被黑客入侵,或者(2)網(wǎng)絡商店遭到入侵。
最初,OnePlus聲稱其網(wǎng)站上未進行信用卡處理,并且未在其服務器上存儲信用卡信息。但是,公司商店中的付款處理表格容易受到中間人的攻擊;黑客可以將惡意JavaScript注入到網(wǎng)頁中,從而從中吸取數(shù)據(jù)。
最重要的是,F(xiàn)idus 研究人員發(fā)現(xiàn),OnePlus的付款頁面不符合英國卡協(xié)會的PCI-DSS標準,這與該公司的說法背道而馳。PCI-DSS的要求之一是公司的服務器必須“對持卡人數(shù)據(jù)和敏感信息在公共網(wǎng)絡上的傳輸進行加密”,但是事實并非如此。
是什么原因造成的?
OnePlus表示其系統(tǒng)遭到了攻擊,并且在客戶輸入時,一個旨在竊聽信用卡數(shù)據(jù)的惡意腳本已被注入到支付頁面代碼中。該團隊了解到,該惡意腳本是間歇性運行的,直接從用戶處捕獲并發(fā)送數(shù)據(jù)瀏覽器到非現(xiàn)場服務器。
OnePlus確定了腳本并于本周將其刪除,并采取了預防措施,以隔離受感染的服務器并“加強所有相關的系統(tǒng)結構”。但是它說可能有多達40,000個用戶受到影響。
誰受到了影響,哪些受到了損害?
該公司表示,從2017年11月中旬到2018年1月11日,使用信用卡從OnePlus商店購買商品的任何客戶都可能受到該違規(guī)行為的影響。泄露的付款數(shù)據(jù)包括信用卡號,有效期和安全碼,以及完成購買所需的任何其他信息。
不過有一線希望。誰與萬普拉斯文件有信用卡,但誰的客戶 并沒有使這一時限不受影響購買,也不是誰與貝寶支付的用戶。
你該怎么辦?
如果您最近在OnePlus的網(wǎng)站上購買了商品,并擔心您的信息可能被盜,該公司建議您聯(lián)系其支持團隊。另外,如果您發(fā)現(xiàn)網(wǎng)站上可能存在的漏洞,建議您發(fā)送報告至security@oneplus.net。
OnePlus建議客戶檢查其和信用卡對帳單,并向其和/或信用卡發(fā)卡機構報告不認識的購買。他們會退款,以防止造成任何經(jīng)濟損失。
OnePlus現(xiàn)在正在做什么?
OnePlus對付款違約表示歉意,并表示對社區(qū)識別欺詐性付款方式“永遠表示感謝”。該公司表示,該公司正在審查日志并聯(lián)系可能受到違規(guī)影響的人員,并與付款提供商和地方合作以防止將來發(fā)生事件。
OnePlus還表示,計劃在其網(wǎng)站上實施“更安全”的信用卡付款方式,并且正在進行深入的安全審核,以查看攻擊者是否還可以利用其他任何漏洞。
現(xiàn)在說還為時過早,但是PCI安全標準委員會可能會對該公司進行調(diào)查,原因是該公司未能加密其網(wǎng)站上的付款信息。將來可能會被罰款,甚至可能被禁止支持信用卡付款。
2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標明“本站原創(chuàng)”外所有信息均轉載自互聯(lián)網(wǎng) 版權歸原作者所有。