Les clients de la marque de mobiles OnePlus sont nombreux à subir des utilisations frauduleuses de leurs cartes bancaires. La marque a reconnu le problème et confirme que tous les clients de son site web pourraient être touchés.

Sur Reddit et sur les forums officiels de OnePlus, marque chinoise de téléphonie, des centaines de victimes font part de leurs inquiétudes : leur carte bancaire serait frauduleusement utilisée pour acheter des produits sur le site de la firme. Parmi la centaine de victimes, un même constat : leur compte bancaire est utilisé pour acheter des produits OnePlus à leur insu. Toutes les victimes ont été clientes de l’entreprise chinoise, posant, de fait, la question de la responsabilité du commerçant.

Données bancaires récupérées ?

Pour Fidus, entreprise spécialisée dans la sécurité, le site de OnePlus aurait été piraté. Le programme du marchand contiendrait de multiples failles permettant à des acteurs malveillants de se saisir des informations bancaires d’anciens clients. Un nombre important de données bancaires serait ainsi mal protégées par la marque chinoise.

 

OnePlus

Selon l’entreprise, le site de OnePlus serait intact de toutes fuites de données, toutefois, il existerait un moyen d’extraire partiellement des données bancaires et de répliquer l’attaque dont les victimes témoignent. Pour Fidus, le maillon faible de la sécurité de OnePlus est à regarder du côté de Magento, un outil de paiement intégré au site.

OnePlus récupérerait les données bancaires sur son propre site avant de les envoyer à Magento qui, en tant que service tiers, prendrait en charge le paiement. Néanmoins, durant cette transmission d’information, il existerait une possibilité d’intercepter les données avant chiffrement selon Fidus.

La marque reconnait

Cette théorie est néanmoins rejetée par un modérateur du forum OnePlus. L’individu, qui ne répond pas nécessairement au nom du Chinois, détaille que selon ses observations, le rapport de Fidus serait incorrect. Si l’internaute reconnait ne pas être un expert en cyber-sécurité, il défend : « Mes déductions ne remplaceront pas une enquête dédiée, mais je montre que l’analyse de Fidus est fausse  ».

« nous désactivons les paiements par carte bancaire »

En revanche, le problème est déjà reconnu par OnePlus : ce mardi 16 janvier 2018, la firme a cessé les paiements par carte bancaire sur son site Internet. Un membre de l’entreprise explique auprès de la communauté : « C’est un problème sérieux […] Par précaution, nous désactivons temporairement les paiements par carte bancaire sur oneplus.net. PayPal reste disponible et nous travaillons à des alternatives  ».

La marque détaille en outre que tous clients ayant utilisé son site web et une carte bancaire pourraient être touchés. Elle ajoute, au sujet de l’analyse de Fidus, que sa solution de paiement n’est pas directement liée à Magento, et ne peut être touchée par la faille de cette plateforme.

Dans l’attente d’une enquête approfondie, OnePlus ne donne pas davantage d’informations quant à la source de la fraude qui touche ses clients. Elle devra désormais montrer qu’il ne s’agissait pas d’une brèche de sa responsabilité.

Partager sur les réseaux sociaux