Advierten de una vulnerabilidad en la web de OnePlus que permite el robo de datos de tarjetas de crédito

Actualizado 15/01/2018 17:46:03 CET
Logo de OnePlus
ONEPLUS

   MADRID, 15 Ene. (Portaltic/EP) -

   Un estudio de la cosultora de cibersegurida dFidus ha advertido de la presencia de una vulnerabilidad en el sistema de pagos de la web del fabricante 'smartphones' OnePlus que permite el robo de datos bancarios y por el que decenas de usuarios ya han denunciado el uso fraudulento de sus tarjetas de crédito.

   La vulnerabilidad de la web de OnePlus tiene su origen en la plataforma de comercio electrónico Magento, que se emplea en la página. Este sistema permite que se lleven a cabo pagos de forma interna, sin necesidad de utilizar servicios externos, como han resaltado desde Fidus.

   Debido al uso del sistema de pago interno de Magento, existe una ventana de vulnerabilidad en la que los datos de los clientes no se encuentran encriptados. Los cibercriminales pueden aprovecharse de este hecho llevando a cabo un ataque de 'javascript'.

   Con este tipo de ciberataque, los 'hackers' introducen en la web un código malicioso que altera el funcionamiento normal y les permite acceder a los datos bancarios que los usuarios introducen para realizar sus compras, como resaltan desde Fidus, aunque también han descartado esta modalidad de 'hackeo'.

   Además, existe también otra vulnerabilidad en la plataforma de comercio mediante la modificación del código de la página. Aunque esta solo puede llevarse a cabo a través de un 'hackeo' de los servidores de OnePlus, permitiría un robo de los datos bancarios de todos sus clientes.

   El descubrimiento de la brecha tiene su origen en las denuncias por parte de decenas de usuarios en el foro de OnePlus y en plataformas como Reddit. Tras llevar a cabo compras en la web del fabricante chino, los usuarios detectaban pagos fraudulentos a través de sus tarjetas de crédito.

COMUNICADO DE ONEPLUS

OnePlus ha compartido en un comunicado publicado en su foro oficial que varios usuarios les han reportado transacciones desconocidas desde tarjetas de crédito que previamente habían usado en su web. La compañía está investigando el problema, ya que, como ha informado, su página web actual se "reconstruyó" en 2014 con código a medida, y los pagos no llegaron a implementarse en el módulo de Magento.

En este sentido, desde OnePlus entienden que no deberían verse afectados por el bug de Magento, y añaden que su web contiene "HTTPS encriptado" lo que hace que sea "muy difícil" la intercepción de tráfico y la inyección de código malicioso. No obstante, están realizando "una auditoría completa".