OnePlus bestätigt: Tausende Kreditkarten-Daten geklaut!

Update, 22.01.2018:

Bei 40.000 Kunden, die ein Oneplus-Smartphone mit ihrer Kreditkarte auf Oneplus.net gekauft haben, könnten die Kreditkartendaten geklaut worden sein. Das ist ein erstes Ergebnis der Untersuchungen, die Oneplus eingeleitet hatte, nachdem Kunden von betrügerischen Kreditkarten-Belastungen berichtet hatten (siehe unten). Alle möglicherweise betroffenen Kunden seien über Mails informiert worden.

Laut Angaben von Oneplus sei eines der Systeme mit einem schädlichen Skript attackiert worden, welches im Code der Bezahlseite injiziert worden war. Ziel des Skripts sei es gewesen, alle Eingaben von Kreditkarteninformationen abzugreifen. Oneplus-Kunden, die über dieses erfolgreich angegriffene System ihren Kauf per Kreditkarte zwischen Mitte November 2017 und dem 11. Januar 2018 getätigt haben, könnten betroffen sein. Gestohlen wurden dabei Kreditkarten-Nummer, Ablaufdaten und Sicherheitscodes (CVN). Alle Kunden, die bei Oneplus.net über ein anderes Bezahlverfahren eingekauft haben, sind nicht betroffen. Das angegriffene System sei umgehend von den anderen System isoliert und vom Netz genommen worden.

Oneplus betont, dass die Untersuchungen weitergehen. Potentiell betroffene Kunden sollten ihre Kreditkartenabrechnungen im Auge behalten und bei auffälligen Abbuchungen sofort ihre Bank informieren. Das Statement von Oneplus schließt mit einer Entschuldigung an alle Kunden, dass so etwas überhaupt passieren konnte. Man sei dankbar für so eine aufmerksame Community und werde alles unternehmen, damit so etwas nicht noch einmal passiere.

Update Ende

Update, 17.1.2018: Oneplus bietet vorerst keine Möglichkeit mehr für Kreditkartenzahlungen. Begründet wird dies damit, dass die von den Nutzern berichteten Probleme (siehe unten) als “sehr ernst” betrachtet werden und rund um die Uhr nachgeforscht werde. Als Vorsichtsmaßnahme habe man sich daher dazu entschieden, vorübergehend keine Kreditkartenzahlungen mehr zu akzeptieren. Alternativ stehe Paypal weiterhin zur Verfügung. Zusätzlich befinde man sich bereits auf der Suche nach alternativen, sicheren Bezahlmethoden.

Update Ende

Ursprüngliche Meldung vom 15.1.2018: Käufer eines Oneplus-Smartphones berichten seit einigen Tagen im offiziellen Oneplus-Forum von offenbar betrügerischen Kreditkarten-Belastungen. Alle diese Nutzer hatten zum Kauf eines Smartphones eine Kreditkarte verwendet. Sie seien von ihrer Bank auf die verdächtigen Belastungen hingewiesen worden. Unklar ist derzeit, ob es Einzelfälle sind oder der von OnePlus verwendete Dienstleister für Kreditkartenzahlungen ein Problem hat. Auslöser war der Bericht eines Nutzers, der zwei Oneplus-Smartphones mit unterschiedlichen, kaum von ihm verwendeten Kreditkarten erworben hatte. In der vergangenen Woche wurde er dann von seiner Bank auf auffällige Kreditkarten-Buchungen aufmerksam gemacht. Am Montagvormittag hat Oneplus mit einer FAQ auf die Forumsbeiträge reagiert. Man habe die Berichte über das Wochenende hinweg gelesen und nehme sie sehr ernst. Entsprechend sei auch sofort eine Untersuchung eingeleitet worden. In der FAQ betont Oneplus, dass man keinerlei Kreditkartendaten selbst speichere, sondern diese über eine verschlüsselte Leitung und sichere Server an den Dienstleister weiterleite, der den Bezahlvorgang durchführe. 

Das sind die besten Android-Smartphones Allen Kunden, die ein Oneplus-Smartphone per Kreditkarte gekauft haben, wird empfohlen, ihre Kreditkartenabrechnungen genau zu verfolgen und sich bei Auffälligkeiten sofort mit ihrer Bank in Verbindung zu setzen. Oneplus untersuche derweil die Berichte weiter und will sich in naher Zukunft nochmal äußern. Wer Hinweise hat, die bei den Ermittlungen helfen könnten, oder selbst betroffen ist, kann sich über security@oneplus.net mit Oneplus in Verbindung setzen.