– El viernes pasado, OnePlus recibió una advertencia sobre una vulnerabilidad que podrÃa conducir a la filtración de datos confidenciales de los usuarios, reportada por la página Android Police.
La vulnerabilidad se descubrió en uno de los sistemas de facturación de reparaciones fuera de garantÃa de la empresa. Solo afectará a un pequeño número de clientes de Estados Unidos y está a cargo de un tercero. Android Police alertó a OnePlus sobre el problema y trabajó con ellos para resolverlo.
En esencia, si alguien explota la vulnerabilidad, podrá ver los datos de los usuarios que solicitaron una corrección pero no pagaron una factura. La parte tendrá acceso al número de pedido, modelo de teléfono, IMEI. fecha de pedido, nombre, dirección, número de teléfono, dirección de correo electrónico y costos de reparación. OnePlus dijo que los detalles de la tarjeta de crédito nunca fueron revelados.
En un comunicado proporcionado a Android Police, la compañÃa aclaró el problema de seguridad de OnePlus:
“El 2 de julio, se solucionó la vulnerabilidad en el sitio web de nuestro proveedor de servicios de reparación de EE. UU. Los clientes de OnePlus en los EE. UU. que deben pagar las reparaciones fuera de garantÃa o aquellos que eligen usar nuestro programa de intercambio de garantÃa recientemente lanzado reciben un enlace exclusivo de un tercero para procesar su pago.
Desde el momento en que se crea un enlace de pago y se envÃa por correo electrónico al cliente, hasta el momento en que se envÃa la información de pago, el nombre del cliente, la dirección de envÃo, la dirección de correo electrónico, el modelo del dispositivo y el IMEI son visibles en el enlace. Tan pronto como se envÃa la información de pago del usuario, el enlace directo se vuelve inactivo. Para asegurar aún más este proceso, se requerirá un paso de verificación adicional a partir de principios de la próxima semana.
Después de una exhaustiva investigación conjunta con nuestros proveedores, no encontramos evidencia de un intento de acceder a esta URL.
Además, no se puede acceder a los datos de la tarjeta de crédito ni a la información de pago de ningún tipo.
La privacidad del usuario es una prioridad principal para OnePlus y nos disculpamos por cualquier inquietud que esto pueda causar. Hemos realizado importantes mejoras de seguridad en nuestra propia plataforma en los últimos años y estamos trabajando diligentemente para seguir mejorando. También hemos mejorado nuestros procesos internos para responder más rápidamente a las vulnerabilidades externas, e involucraremos más de cerca a nuestros proveedores externos para garantizar la seguridad en sus plataformas”.
A pesar de las preocupantes vulnerabilidades de seguridad, esto está muy por debajo de las infracciones de 2018 y 2019 en las que OnePlus fue sorprendido al ver que un tercero malintencionado accedÃa activamente a los datos del usuario. Según el informe, OnePlus ha realizado una auditorÃa del sistema de facturación, eliminando todos los detalles de identificación. El nuevo paso de verificación se pondrá en marcha a partir del 6 de julio de 2020.