Depuis le début de la semaine, le site de OnePlus, qui permet de commander les appareils de la marque, est au cœur d’une affaire de piratage. Plusieurs clients de la marque ont en effet été victimes de paiements frauduleux réalisés avec la carte de paiement utilisée sur le site de OnePlus.
La marque a rapidement ouvert une enquête et suspendu les paiements par carte sur son site, par précaution. Elle livre aujourd’hui les premiers résultats de son enquête.
Le site de OnePlus compromis
D’après l’enquête, le site de OnePlus a été compromis suite à une attaque. Un script malveillant chargé sur le site permettait, par intermittence, de lire et enregistrer les données bancaires depuis le navigateur de l’utilisateur.
Le fabricant annonce avoir mis en quarantaine le serveur touché, avoir pris les mesures nécessaires pour renforcer la sécurité sur les autres serveurs et avoir supprimé le script malveillant en question.
Une attaque en cours depuis novembre 2017
Toujours d’après OnePlus, c’est près de 40 000 utilisateurs qui pourraient avoir été touchés par l’attaque, sans que le site puisse l’affirmer avec certitudes. Plus précisément, le site aurait été compromis à partir de la mi-novembre 2017 et jusqu’au 11 janvier 2018.
Pendant cette période, les données de cartes bancaires entrées sur le site pourraient avoir été compromises. En revanche les données déjà enregistrées et les paiements par PayPal (même ceux payant par carte bancaire via PayPal) ne sont pas touchés.
Les utilisateurs potentiellement touchés vont être contactés par OnePlus par email. Si vous pensez être dans ce cas, surveillez donc votre boite mail associée à votre compte OnePlus. D’une manière générale, si vous avez commandé sur OnePlus durant cette période, n’hésitez pas à bien surveiller attentivement votre compte bancaire pour détecter au plus vite des usages frauduleux potentiels.
La société promet d’améliorer ses systèmes de sécurités, mais on ne peut que rester circonspect devant le fait qu’un script malveillant ait pu être installé pendant 2 mois sur les serveurs de OnePlus.
Si vous voulez recevoir les meilleures actus Frandroid sur WhatsApp, rejoignez cette discussion.
Lol si j'ai envie de porter un jugement sur toi je le fais que ça te plaise ou non mon petit bonhomme. T'es énorme toi avec ton C majuscule ^^ Le mec vient donner des leçons aux autres et on aurait pas le droit de le critiquer? ???
Tout à fait ! Mais c'est payant (de mémoire, c'est l'acheteur qui paie la commission Paypal soit 3.5%).
Certains vendeurs acceptent Paypal sur Ali Express maintenant.
Ton commentaire est plutôt discriminatoire... Sérieux, tu crois parce que c'est un site chinois que c'est pas plus fiable qu'un site russe ou américain ? Le risque est partout, c'est comme ça et pas autrement.
Deux choses à ne jamais faire dans ce cas-là: acheter un produit sur un site officiel et acheter un OnePlus.
Lutter contre toute discrimination n'est jamais de la futilité !
Bonjour, Charlie (avec une majuscule, s'il vous plaît) n'a rien à voir avec un site chinois ?! Je pense qu'il est nécessaire que je reformule un point que vous vous obstinez à ne pas vouloir comprendre : lorsque j'émets un avis, je ne vous demande pas le vôtre. Je m'exprime grâce à la rubrique des commentaires, un point c'est tout. Vous avez le droit de ne pas être d'accord, c'est votre affaire. Mais en aucun cas, cela vous autorise à porter un jugement sur moi. Par conséquent, cessez cette polémique à mon égard ("troll"). S'il vous plaît, merci. FIN
Bonjour cher client, nous vous envoyons de suite un super bon de parrainage, pour que vous puissiez spammer tous les sites de ventes ou en lien avec android. Cordialement,
Suffit d'un bout de javascript qui enregistre ce que tu tape côté client. Même en https ça marche ça.
Bravo le cliché... Les gros sites chinois sont sur quand même. Pour les petits c'est comme certains, en France, tu serais étonné de voir certaines choses (du style pas de https, ou autre bien pire comme pas de cryptage des mots de passes, ou sauvegarde des numéros de cartes). Après personne n'est a l’abri d'un piratage, cf Sony, etc Entendre ça venant d'un mec qui se dit charlie c'est bizarre quand même.
Super merci beaucoup pour les explications
Ok super merci beaucoup
Allons, allons, cessez de diaboliser à tout va. Vous gagnerez en discernement. La prochaine fois, évitez de m'interpeler pour de telles futilités. Merci. FIN.
Je ne vois pas bien ce qu'il y a de subjectif quand tu commandes un produit avec certaines spécifications et que tu reçois un produit inférieur, ou alors quand il y a annulation d'une commande parce que le vendeur ne te fournit que la moitié de la commande et donc même dans ces cas là Paypal refuse de te rembourser, et tu trouves ça normal ?
J'ai jamais eu de problème de non remboursement via paypal ils ont toujours été réglo. Ceci dit je n'ai eu que des problèmes de non reception. Pour les objects non conforme comme c'est subjectif... Pour OP, ils ne se sont pas mis dans la merde (pas volontairement), leur serveur a été piraté, nuance importante. Et pour vraiment revenir sur le sujet, Paypal ici aurai permis de pas avoir sa carte bleue collectée par ce piratage donc... techniquement c'est le meilleur choix. Par contre le jour où Paypal se fait piraté, là ça fera bien plus mal!
Si c'est pas du racisme c'est au moins de la discrimination car "site chinois" = forcément gros risque.
Bonsoir Edouard, Mais qui vous parle de racisme ? Il me semble que vous mélangez tout. Je ne vois vraiment pas ce que le racisme vient faire ici ?! Je disais simplement que c'est accepter de prendre un gros risque. D'ailleurs, si jusque-là vous en doutiez, la preuve est désormais devant vous ...
Le SSL sert à empêcher une interception des données entre le serveur et l'utilisateur, les données sont chiffrées par le serveur. C'est pour éviter que les données soit "récupérées" en chemin par quelqu'un d'autre que l'utilisateur légitime si tu veux. Là étant donné que c'est un serveur qui est compromis, le SSL ne protège pas
Parce que c'est dans le contrat de confiance de Paypal et que cela fait parti de ses engagements !!! J'imagine que tu n'as pas du tout lu les CGV/CGU et tout le tintouin. D'ailleurs, pourquoi tu paies avec Paypal ?????????????? Ma banque le fait effectivement même si Paypal n'est pas d'accord comme c'est le cas avec Orange, Bouygues, Numéricable, etc... Sinon, oui on parle bien de OP qui s'est bien mis dans la merde !
On est déjà plusieurs à l'avoir fait constaté et j'ai même répondu à Diantro sur la marche à suivre pour obtenir le remboursement via la banque si Paypal fait de la résistance !!!
ah bon??? des sources s'il te plait ça m'interesse (et je dois pas être le seul)
Pourquoi Paypal devrait rembourser ça ?????? Des banques le font ? Là on parle de OP on est pas sur n'importe quel site qui vend des niphone ou autres nokla...
Heureusement Google est sur le coup
Oui pour t'enc*er même quand c'est le vendeur est en tort !
Paypal n'est PLUS un site de confiance !
Paypal c'est pas mieux puisqu'ils peuvent te refuser un remboursement même si c'est la faute des vendeurs avec des produits non conforme !
J'ai acheté le OnePlus 5T Sandstone sur le site mais comme il y avait le choix sans coût supplémentaire, j'ai payé via Paypal.... ça va de soi ! D'autant que le site OnePlus n'utilise aucun intermédiaire style Fianet. Par contre sur AliExpress je paie via e-cartebleue car là non plus aucun site style Fianet n'intervient.
une faille de sécurité (technique ou humaine) et hop un bout de script est posé sur la page web gérant les achats. Si c'est du javascript côté navigateur tu accèdes à toutes les données saisies dans les formulaires (donc par ex la carte bleue). SSL ou non ton navigateur execute ce script (tout comme le reste de la page) Je ne crois pas qu'ils passent comme chez nous par le site d'une banque pour saisir les info de payement donc voilà... Via paypal ce n'est pas impacté car tu utilises les serveurs Paypal qui eux sont bien plus sécurisés et c'est normal car c'est leur métier. On peut pas demander à un site marchand d'être au top de la sécurité. Avec un plugin genre umatrix dans le navigateur ça doit peut-être se voir ce genre de hack, car faut bien que les données partent ailleurs que chez OP, mais pas sûr car on sait pas l'ampleur du programme malvaillant sur le serveur chez OP. Donc ton navigateur chiffre en SSL entre chez toi et OP, mais ça ne concerne que les échanges de données, pas l'intégrité des pages/scripts. Bref vaut mieux passer par Paypal ou mieux utiliser une eCarte Bleue (CB virtuelle à usage unique avec plafond).
Je vois pas le rapport avec le fait que ça soit un site chinois. Ils ont (OP) de sacré contraintes vu qu'ils visent des clients dans le monde entier, et que c'est leur unique voie de distribution. Un scandale comme celui-ci leur fait forcément du tort. Je pense qu'il y a pas besoin d'être raciste, ça peut arriver sur un site de banque Française, de commerce américain etc. Est-ce qu'ils communiqueront de manière autant transparente?? En tout cas, ça confirme qu'il vaut mieux passer par un intermédiaire comme Paypal.
J'aimerais bien avoir plus de détails techniques car j'avoue ne rien connaître sur ce point
tkt, tout est sous contrôle ! frandroid mènent l’enquête ;)
Bonjour. En effet, c'est plutôt inquiétant. Mais réaliser un achat sur un site chinois, c'est accepter de prendre un gros risque ...
Headshot
C'est surtout que quand je paye en Chine je prend toujours Paypal par sécurité. A ma connaissance non, après j'ai pas fouillé plus que ça.
Le script est sur le serveur, le SSL ne sert plus à rien dans ce cas
Je me demandais d'ailleurs et vu que tu as l'air d'aimer paypal, le paiement en plusieurs fois est possible avec paypal sur les sites qui proposent cette option ?
:D
Vachement rassurant... Qui a installé le script ? Comment ont ils fait pour ne pas le voir ? A qui profite le crime ? Comment le script peut intercepter des données qui sont censée être sécurisée de bout en bout en SSL ?
autant acheter sur aliexpress...
Sur 40000.
Paypal is your friend ^^
D'où cette opération de comm je suppose
Bon je veux bien leur pardonner s'ils m'envoient un nouveau oneplus. Même si je n'ai pas été touchés ayant effectué mon achat pendant l'été, je suis un client, il faut me bichonner
40 000 utilisateurs affectés sur combien de clients ? :-D
Never settle , mdr ???
"on ne peut que rester circonspect devant le fait qu’un script malveillant ait pu être installé pendant 2 mois sur les serveurs de OnePlus." Le plus choquant est que si les utilisateurs n'avaient pas fait le lien, OnePlus ne s'en serai pas rendu compte. C'est impardonnable.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix