 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
25 апреля, четверг, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Китайский производитель смартфонов снова в центре скандала из-за возможной уязвимости в платежном шлюзе.
Известный китайский производитель Android-смартфонов расследует инцидент, связанный с массовой кражей средств с кредитных карт пользователей, которые совершали покупки через онлайн-магазин компании. На данный момент известно о десятках мошеннических транзакций, совершенных в период между рождественскими праздниками и серединой января. Несколько пострадавших пользователей сообщили, что их карты были привязаны к платежной системе PayPal, однако пока аналитики не усматривают в этом закономерности.
Исследователи Fidus, проводящие ИБ-аудит онлайн-магазина, подтвердили, что хотя финансовые транзакции производятся на защищенном шлюзе стороннего поставщика, данные кредитных карт, включая CVC- и CVV-коды, некоторое время находятся на стороне OnePlus. Таким образом, злоумышленники могут перехватить информацию до того, как она будет зашифрована. Одной из причин утечки называют тот факт, что при создании сайта OnePlus использовалась e-commerce платформа Magento, которая была признана уязвимой к XSS- и RCE-атакам. Однако компания отвергает обвинения в использовании уязвимой версии Magento, утверждая, что с 2014 года онлайн-магазин работает на основе собственного ПО.
Пока производитель не комментирует слухи о взломе, отрицая факт хранения платежных данных на своем сайте, в то время как пользователи требуют от OnePlus скорейшего разрешения проблемы.
Это не первый случай утечки пользовательских данных в компании. Производитель уже признал, что смартфоны его производства тайно передавали информацию о клиентах в Alibaba. В прошлом году произошел инцидент, связанный с отправкой подробных сведений о пользователях на серверы OnePlus без уведомления владельцев устройств и их разрешения на использование данных.
За последние несколько месяцев в Magento был обнаружен ряд серьезных уязвимостей. Исследователи Suciru нашли в одном из модулей платформы под названием SF9 Realex брешь, позволявшую похищать платежную информацию. Месяц спустя эксперты DefenseCode опубликовали сведения об уязвимости нулевого дня, которая ставила под угрозу более 200 тысяч e-commerce сервисов: брешь открывала возможность для удаленного исполнения кода и кражи конфиденциальной информации, в том числе баз данных, содержащих номера кредитных карт. В сентябре 2017 года Magento закрыла 35 критических уязвимостей.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
