Datenleck? OnePlus deaktiviert Kreditkarten Zahlungen.

Mittwoch, 17. Januar 2018

Im OnePlus Online Store ist es aktuell nicht mehr möglich, direkt mit Kreditkarten zu bezahlen. Der Grund dafür ist, dass diese Bezahlmethode vorsichtshalber deaktiviert wurde. Dies hat den Hintergrund, dass es jüngst mehrere Beschwerden von OnePlus Kunden gab, welche ungewöhnliche Aktivitäten in ihrer Kreditkartenabrechnung festgestellt haben. Bei einigen Fällen wurde die betroffene Kreditkarte sogar ausschließlich in Verbindung mit einem OnePlus Konto genutzt, sodass das Problem direkt auf OnePlus zurückzuführen ist.

Es steht also die Vermutung im Raum, dass es einen Hack gab, bei dem Kreditkarten Daten von OnePlus Kunden entwendet wurden. OnePlus hat dazu bereits Stellung genommen und versichert, dass auf den OnePlus Servern keinerlei Kreditkarten Daten gespeichert würden. Diese werden verschlüsselt an einen externen Dienstleister weitergeleitet, welcher die Zahlungen verarbeitet. Dies ist übrigens ein ganz normales Vorgehen und damit keineswegs ungewöhnlich. Dennoch nimmt man die Vorfälle ernst und ist derzeit damit beschäftigt, die Ursache zu finden. Das Deaktivieren der Kreditkartenzahlungen ist Teil der ersten Maßnahmen.

Mittlerweile hat sich mit "Fidus Information Security" auch ein externer Sicherheitsspezialist eingeschaltet. Dieser gibt an, dass auch wenn keine Daten bei OnePlus gespeichert würden, die Daten von dort entwendet worden sein können. Immerhin befindet sich das entsprechende Formular, welches man für die Zahlung ausfüllen muss, auf den Servern von OnePlus. Hier hätte ein Angreifer die Möglichkeit, die Daten auf dem Weg zum Zahlungs-Dienstleister abzugreifen. Fidus gibt auch ein paar Beispiele, wie solch ein Angriff möglich wäre. Die wahrscheinlichste Möglichkeit sei dabei die Ausnutzung von Lücken im Magento Shop System.

Letzterem widerspricht OnePlus jedoch in einem aktuellen Statement. Hier gibt OnePlus an, dass man bereits seit 2014 kein Magento mehr nutzt, sondern eigenen Code für sein Shop System nutzt. Nichts desto trotz bedeutet das aber nicht, dass Fidus hier falsch liegt. OnePlus könnte Lücken vom alten Shop System übernommen haben, oder neue Lücken eingebaut haben. Eine weitere Möglichkeit besteht auch darin, dass OnePlus gar keine Schuld trifft, sondern es einen Hack beim Zahlungs-Dienstleister selbst gab.

Ihr seht schon: Aktuell sind hier noch viele Fragen offen und OnePlus wird sicherlich noch etwas Zeit benötigen das alles aufzuarbeiten. Fest steht aber, dass alle OnePlus Kunden, welche direkt mit Kreditkarte bezahlt haben (also ohne PayPal), ihre Abrechnung genau prüfen sollten. Die meisten Kreditkarten Anbieter haben zwar Sicherheitsmechanismen, welche Missbrauch verhindern, doch es gibt durchaus Anbieter, bei denen das nicht der Fall ist.