一加网站支付系统被入侵?信用卡信息被窃取?

阅读量    55977 |   稿费 90

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

对于一加用户来说,这是今年的第一个坏消息——大量的一加顾客报告,他们在一加官方在线商城购买产品之后,遭遇了信用卡欺诈交易。

这则声明最早由一位顾客于上周末发表在一加支持论坛上。他说他在一加公司官方网站使用过的两张信用卡被怀疑用于欺诈性活动。

“过去六个月中,我只在一加网站上用过这两张信用卡。”这名顾客写道。

许多顾客声称,在直接从一加官方网站购买新手机或附件之后,他们的信用卡受到危害,这表明这次信息泄露可能是由一加公司自身造成。

网络安全公司Fidus发表了一篇博客,对一加网站在线支付系统被指存在的问题进行了详细分析。该公司怀疑一加网站的服务器可能已经被入侵。

根据Fidus的说法,目前一加网站对交易进行自主管理,这意味着顾客产生的所有包含信用卡详情的账单信息可以从一加官方网站流出并被攻击者截获。

“表单提交后,支付详情同时被发送给一个第三方供应商,这个环节存在一个时间窗口,在这期间恶意代码能够在数据被加密之前获取信用卡详情。”Fidus写道。

Fidus紧接着阐明,他们的发现并没有以任何方式去证明一加网站被入侵;相反,他们暗示攻击可能来自Magento电子商务平台——一加使用了这个平台,并且它是“一个常有信用卡攻击发生的平台”。

一加对论坛中的问题作出了快速回应,确定它并没有在网站上存储任何信用卡信息,所有支付交易交由遵守PCI-DSS标准支付流程的合作者处理。

对于那些启用了“保存这张卡片以用于未来交易”特性的用户来说,只有和信用卡相关的信息才被存储在一加官方服务器上,但是一套令牌机制保证了这些信息的安全。

“我们的网页使用了HTTPS加密,因此截获数据流和注入恶意代码是非常困难的,不过我们正在进行一次彻底的审查。”一位化名为“Mingyu”的公司职员写道。

这家中国智能手机制造商也证实,与PayPal等第三方服务相关的购买交易没有受到影响。

关于此次事件,一加没有给出更多信息,但是确认它的官方网站没有受到任何Magento平台漏洞的影响。

这家公司证实,oneplus.net确实曾经基于Magento电子商务平台构建。但是它说从2014年起,该网站已经使用自定义代码进行了彻底的重构,同时补充道:“信用卡支付事务从未交由Magento 的支付模块处理。”

一加支持论坛中有将近100个关于信用卡欺诈的报告。一加通告了对此次事件的正式调查,并建议受影响用户与他们的银行取得联系,以取消交易。

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多