Visiblement, l’alerte datant de quelques jours concernant des forts soupçons de piratage de cartes bancaires de clients du site officiel OnePlus se confirme. Les victimes seraient environ 40 000 au total.
OnePlus victime d’un piratage d’envergure
C’est une véritable situation de crise que dois gérer le fabricant de smartphones chinois. En effet, de nombreux témoignages de clients ayant été victimes de paiement frauduleux avec leur carte bancaire ayant servie à faire une récente commande sur le site officiel OnePlus avait déclenché une alerte au piratage de grande ampleur.
Or, la société a mené l’enquête sur sa boutique en ligne et vient de communiquer en informant les clients d’une bien mauvaise nouvelle : le piratage de 40 000 cartes bancaires a été confirmé ! Notons que les paiements via PayPal (y compris CB payPal) ainsi que les clients ayant enregistrés leurs CB sur le site ne sont pas affectés par la fuite. Les plaintes de clients ayant fait remonter des transactions bancaires frauduleuses après des achats effectués sur son le site oneplus.net sont donc bien fondées…
« Nous sommes profondément au regret d’annoncer que nous avons bien été attaqués, et que jusqu’à 40 000 utilisateurs de oneplus.net peuvent être touchés par cet incident. Nous avons envoyé un e-mail aux personnes possiblement concernées. »
OnePlus a investigué sur le pourquoi du comment du piratage et a fourni des explications :
« L’un de nos systèmes a été affecté, et un script malveillant a été injecté dans le code de la page de paiement pour aspirer des données de cartes de crédit. Nous travaillons avec nos fournisseurs et les autorités locales pour traiter au mieux cet incident. Nous travaillons également avec nos fournisseurs de paiement actuels pour implémenter une méthode de paiement par carte bancaire plus sécurisée en même temps qu’un audit de sécurité complet. Ces mesures vont nous permettre d’éviter que de nouveaux incidents de ce type ne surviennent à l’avenir. ».
Le script malveillant injecté sur le site après que les attaquants aient réussi à s’y introduire a donc permis d’intercepter les données bancaires au sein de la page de paiement et des les récupérer à distance. Il ne restait plus qu’aux cybercriminels à réaliser de nombreux achats en ligne avec les CB dérobées en clair… puis de faire jouer l’habituel réseau de “mules” pour récupérer la marchandise physique au besoin. Il leur était bien entendu possible de vendre les données bancaires au plus offrant.
La société OnePlus a indiqué que le script malveillant a été éliminé du site Web e-commerce officiel et que le serveur infecté a été mis en quarantaine. Quant aux autres autres systèmes en ligne, ils ont vu leur sécurité renforcée. Quoi qu’il en soit, la société chinoise a désactivé jusqu’à nouvel ordre le module de paiement CB sur son site.
Quid des dates à risque ?
Voici un élément très important à communiquer à tous ceux ayant potentiellement commander sur le site en question durant la période à haut risque d’infection.
D’après The Verge, tout ceux ayant passé commande sur le site OnePlus.net entre la mi-novembre 2017 et le 11 janvier 2018, tout en payant par CB sont potentiellement concernés et doivent au plus vite vérifier leurs relevés bancaires afin de repérer des probables transactions frauduleuses. Si vous êtes dans ce cas là, prenez contact avec votre banque et demander la désactivation de votre carte bancaire.
Comment éviter les paiements frauduleux en ligne ?
Profitons de ce nouveau piratage bancaire massif pour rappeler que des solutions existent pour se protéger contre ce type d’acte malveillant. Tout d’abord, citons PayPal, devenu un acteur incontournable pour le paiement sécurisé en ligne. Ensuite, si votre banque le propose, sachez que vous pouvez vous munir d’une e-carte bleue équipée d’un écran LCD affichant un code crypto-dynamique. Pour finir, il est peut être plus simple de tout simplement vous munir d’une carte bancaire prépayée rechargeable vous permettant de contrôler à tout moment le solde à 100 % et autorisant un blocage dans la minute en un clic.
Une e-carte bleue toute simple sur laquelle on crédite le montant de l’achat que l’on s’apprête à faire, rien de tel pour éviter les vols. L’inconvénient si l’on veut bien faire est d’en générer une par commande pour en ajuster le mntant. L’avantage: aucun risque de se battre avec la banque pour se faire rembourser:-)
Les commentaires sont fermés.