OnePlus corrige otro defecto de seguridad que puede haber expuesto datos confidenciales del cliente

Se ha solucionado una vulnerabilidad de seguridad en el sistema de facturación de cambio anticipado y reparación fuera de garantía de OnePlus. La vulnerabilidad, que se descubrió el 30 de junio, expuso detalles de los clientes, incluidos nombres completos, números de teléfono, direcciones de correo electrónico, números IMEI y direcciones físicas. El sistema afectado está a cargo de un proveedor externo y solo lo utilizan los clientes de EE. UU. Android Police reveló detalles de la vulnerabilidad de OnePlus después de recibir una pista de un lector, y OnePlus no cree que alguna vez haya sido explotada activamente.

Nuevamente, hasta donde sabemos, solo los clientes de EE. UU. habrían estado en riesgo. La ventana de vulnerabilidad de un cliente determinado para ser explotado probablemente también era bastante limitada, ya que solo estaban expuestas las facturas pendientes y sin pagar por reparaciones fuera de garantía y retenciones de tarjetas de crédito en garantía para reemplazos avanzados. En resumen, probablemente solo afectó a un pequeño subconjunto de un subconjunto de clientes de OnePlus en un momento dado.

ANDROIDPOLICE VÍDEO DEL DÍA

Según una auditoría interna realizada por OnePlus, no hay evidencia de que alguna vez se haya explotado la vulnerabilidad. Por el momento, los datos de identificación se han eliminado del sistema de facturación y, a partir del 6 de julio, se implementará un nuevo sistema de verificación.

Dicho esto, los detalles que reveló la vulnerabilidad sobre esos clientes fueron significativos e incluyeron:

  • Números de pedido
  • Modelo de teléfono
  • IMEI
  • Fecha de orden
  • Nombre
  • Dirección
  • Número de teléfono
  • Dirección de correo electrónico
  • Coste de la reparación

Android Police fue informado de la vulnerabilidad por un informante (Gracias: Eric Lang) el 30 de junio, pero no está claro cuánto tiempo existió la vulnerabilidad. Nuestro informador intentó comunicarse con OnePlus el 21 de junio con la información, pero sus afirmaciones no parecían tomarse en serio en ese momento. El 2 de julio, luego de nuestra divulgación a la empresa, se solucionó la vulnerabilidad para eliminar el acceso a la información de identificación.

Esta no es la primera vez que OnePlus se encuentra con problemas de seguridad relacionados con los datos de los clientes. El año pasado, la promoción Shot on OnePlus de la compañía filtró algunos detalles similares, al igual que una violación posterior con respecto a la información del pedido. En 2018, sufrió un pirateo de tarjeta de crédito que no se reveló durante un período de dos meses y afectó a hasta 40,000 clientes. En 2017, se reveló que los análisis de los teléfonos OnePlus incluían información de identificación superflua. A fines del año pasado, OnePlus anunció su programa de recompensas por errores, prometiendo pagos para los investigadores de seguridad, pero eso no parece haber impedido las noticias de hoy.

Android Police trabajó con OnePlus para resolver el problema y la compañía nos proporcionó la siguiente declaración el 3 de julio con respecto a la vulnerabilidad:

El 2 de julio, se solucionó una vulnerabilidad en el sitio web de nuestro proveedor de servicios de reparación de EE. UU. A los clientes de OnePlus en los EE. UU. que debían pagar las reparaciones fuera de garantía o aquellos que optaron por utilizar nuestro programa de intercambio de garantía lanzado recientemente se les envió un enlace exclusivo de terceros para procesar su pago. Desde el momento en que se generó el enlace de pago y se envió por correo electrónico al cliente, hasta el momento en que se envió la información de pago, el nombre del cliente, la dirección de envío, la dirección de correo electrónico, el modelo del dispositivo y el IMEI estaban visibles en el enlace. Tan pronto como se envió la información de pago de un usuario, el enlace quedó inactivo de inmediato. Para asegurar aún más este proceso, se requerirá un paso de verificación adicional a partir de principios de la próxima semana.

Video:

Ir arriba