A fabricante chinesa OnePlus é conhecida por seus smartphones acessíveis com especificações high-end. Ela vende seus produtos através da internet, e sua loja online ficou vulnerável a ataques durante meses.
Segundo a OnePlus, um invasor não-identificado obteve dados de cartão de crédito de 40 mil clientes entre novembro de 2017 e janeiro de 2018. Ela envia seus produtos para 33 países; a lista não inclui o Brasil.
A empresa diz que o invasor conseguiu acessar um dos seus servidores, e injetou um script que capturou os dados de cartão de crédito enquanto eles eram digitados no formulário de pagamento do site, antes de serem criptografados para envio.
Clientes que pagaram via PayPal não foram afetados, nem mesmo quem já tinha os dados salvos no perfil — o invasor precisava que o usuário digitasse o número do cartão.
Alguns clientes estavam sofrendo cobranças fraudulentas em suas faturas; por isso, a empresa desativou pagamentos com crédito em seu site, e abriu uma investigação. Ela não diz quantas pessoas foram afetadas por compras fraudulentas.
Para compensar a dor de cabeça, a OnePlus vai oferecer gratuitamente um ano de monitoramento de crédito para os usuários afetados — que, segundo ela, representam uma “pequena parcela” de sua base de clientes. A investigação segue em andamento.
Em novembro, descobriu-se que aparelhos da OnePlus vinham com um aplicativo de diagnóstico chamado EngineerMode, que pode dar acesso root a qualquer um sem desbloquear o bootloader. Ele foi removido após uma atualização.
E em outubro, a fabricante foi acusada de coletar mais dados do que deveria sobre os usuários. Isso incluía seu número de telefone, horários e frequência de desbloqueio de tela, e por quanto tempo cada app ficava em primeiro plano. Ela prometeu mudar essa prática.