AndroidPolice ha rivelato che una nuova vulnerabilità nel sistema di gestione degli account OnePlus legato ad un fornitore esterno avrebbe potuto causare l’esposizione di diversi dati sensibili degli utenti che sarebbero così potuti finire in mani sbagliate. La vulnerabilità è stata rilevata in uno dei sistemi di fatturazione per le riparazioni degli smartphone della casa cinese non coperti dalla garanzia ed avrebbe interessato solo un numero limitato di clienti statunitensi.
OnePlus, dati a rischio
La mancanza è dettata da un passaggio di dati con una società di terze parti che gestisce questo tipo di pratiche. Android Police ha notificato il problema a OnePlus ed ha prestato la massima collaborazione per cercare di risolvere la problematica.
In sostanza, se qualcuno avesse sfruttato la vulnerabilità, sarebbe stato in grado di visualizzare i dati di tutti gli utenti che avessero presentato una richiesta di riparazione ma che avevano ancora pagato la fattura. I malintenzionati avrebbero così potuto avere accesso alle principali informazioni dell’utente come numero di ordine, modello di telefono, codice IMEI data dell’ordine, nome, cognome, indirizzo, numero di telefono, indirizzo e-mail e costi di riparazione. Fortunatamente, stando almeno a quanto riferito, l’azienda ha riferito che i dettagli della carta di credito non sono mai stati esposti.
In una dichiarazione rilasciata ad Android Police, l’azienda cinese ha cercato di rassicurare i consumatori:
Il 2 luglio è stata risolta una vulnerabilità sul sito Web del nostro fornitore ufficiale preposto alle riparazioni dei nostri smartphone per il mercato degli Stati Uniti. Tutti gli utenti che dovevano pagare una riparazione non compresa nella garanzia legale o scaduta, hanno ricevuto un link per procedere al pagamento. Tra la creazione del link e l’invio via mail della richiesta non c’è stato alcun problema, verificatosi invece nel passaggio seguente ossia quando l’utente ha avuto accesso al link e sono state inviate le informazioni per il pagamento. In questo frangente tutti i dati sopracitati sono stati resi visibili, per una fall nel sistema, salvo poi essere immediatamente bloccati. Per evitare nuovamente il presentarsi di questo problema, sarà richiesto un ulteriore passaggio di verifica , già a partire dall’inizio della prossima settimana. Dopo un’indagine approfondita insieme al nostro fornitore, non abbiamo trovato alcun tentativo intenzionali di accesso a questi URL.
Inoltre, nessun dato sulla carta di credito o sulle informazioni di pagamento è mai stato reso accessibile. La privacy degli utenti è una priorità assoluta in OnePlus e ci scusiamo per qualsiasi eventuale preoccupazione che questa vicenda abbia potuto creare. Negli ultimi anni abbiamo apportato miglioramenti significativi alla sicurezza sulle nostre piattaforme e stiamo lavorando in maniera decisa per migliorarle ulteriormente
Siamo già a lavoro per apportare nuovi sviluppi ai nostri processi interni che saranno così in grado di rispondere più rapidamente alle vulnerabilità esterne e coinvolgeremo più da vicino i nostri fornitori esterni per garantire sempre più sicurezza anche sulle loro piattaforme.
Insomma, OnePlus non sembra essere molto fortunata su questo tema, considerato che non è la prima volta che i dati degli utenti rischiano di essere sottratti a loro insaputa a causa di molteplici problemi ai sistemi di controllo delle piattaforme dell’azienda cinese.
Questa volta sembra essere filato tutto liscio e speriamo che le nuove iniziative messe in campo per garantire una maggiore sicurezza possano finalmente permettere a tutti gli utenti OnePlus di dormire sonni tranquilli.