OnePlus 宣布，最近有 4 万名客户受到安全漏洞的影响，导致该公司在本周早些时候关闭了在线商店的信用卡支付。目前，第三方安全机构正在进行调查导致客户信用卡信息在购买OnePlus产品时被盗的漏洞。 尽管在过去一周内只有信用卡信息被盗用和欺诈性购买的报道，但 OnePlus 表示，自 11 月中旬以来，盗取数据的脚本已经在其中一台支付处理服务器上运行。该脚本能够直接从客户的浏览器窗口中获取完整的信用卡信息，包括卡号，到期日期和安全代码。该公司表示，已经确定了攻击发生的地点，并已经找到攻击者的入口点，但调查仍在进行中。 目前尚不清楚这种攻击是否是远程完成的，或者是否有人物理访问服务器来安装脚本。在一篇详细介绍调查结果的论坛帖子中，OnePlus 表示脚本“间歇性”运行，受感染的服务器已经与系统的其他部分隔离。它还表示，通过已经保存信息的信用卡支付的客户，通过PayPal处理的信用卡或通过PayPal账户支付的客户应该不会受到影响。 OnePlus 发言人表示，遭受攻击的4万名客户仅占其客户总数的一小部分。该公司正在向受影响的客户伸出援手，并免费提供一年的信用监测服务。调查期间还与地方当局合作。信用卡付款将在OnePlus.net商店中保持禁用，直到调查完成，同时客户可以通过 PayPal 购买物品。 OnePlus 表示，它正在努力实施更安全的信用卡付款方式。 上周，OnePlus首席执行官刘佩特告诉 CNET，它正在探索与美国运营商的合作关系，但一位发言人证实，这一安全漏洞不会改变 OnePlus 在线销售策略方面的任何事情。该公司目前还没有计划将其商店转移到亚马逊或其他电子商务平台。 稿源：cnBeta，封面源自网络

根据 thenextweb 报道，任何使用信用卡从公司官方网站购买新款 OnePlus 手机的人都应该立即联系他们的银行：黑客可能会偷走他们的资金。Thenextweb 报道，网络安全公司 Fidus 针对一群 OnePlus 用户可能发生的信用卡欺诈事件调查之后，发现了一个漏洞，可能允许恶意代理人从 OnePlus 网站上扫描敏感的信用卡数据。 到目前为止，数百名受影响的用户已经到 Reddit 和 OnePlus 官方论坛报告其信用卡上的可疑活动。据不少报道，第一次欺诈的尝试是在用户使用信用卡从OnePlus网站上购买物品一年之内。Fidus表示尽管这些攻击似乎是真实的，但他们的研究显示，并没有以任何方式证实 OnePlus 网站被破坏。相反，它表明攻击可能来自最薄弱的环节 – Magento 电子商务平台。 这位网络安全专家说，以前曾多次遭到黑客入侵的付款整合往往是恶意行为者的攻击目标。通过 OnePlus 网站上的付款流程分析显示，请求客户卡详细信息的支付页面在现场被托管， 这意味着输入的所有付款细节尽管简单，但却可以通过 OnePlus 网站流入，并且可以被攻击者拦截。 虽然支付细节在提交表单时被发送给第三方提供商，但是恶意代码可以利用其中一个窗口能够在数据被加密之前窃取信用卡细节。虽然 OnePlus 尚未发布有关这一事件的官方声明，但在其论坛上的版主对 Fidus 的研究准确性持怀疑态度，认为所提出的攻击载体与证据不一致。 稿源：cnBeta，封面源自网络