Утечка данных банковских карт из интернет-магазина компании OnePlus
dataleak
На форуме производителя мобильных телефонов OnePlus более 60-ти пользователей сообщают о том, что их банковские карты, которые использовались ими для покупок телефонов в интернет-магазине OnePlus, были использованы для совершения неавторизованных покупок неизвестными лицами. О тех же самых проблемах сообщают пользователи на форуме reddit.
Интернет-магазин OnePlus построен на платформе электронной коммерции Magento. Интересно, что в 2015 году в этой платформе была обнаружена уязвимость (SQL-инъекция), позволяющая посторонним получить полный контроль над магазином и даже дающая доступ к данным платежных карт.
Однако, в этот раз скорее всего виновата не эта старая уязвимость платформы Magento, а реализация взаимодействия интернет-магазина OnePlus с платформой. Похоже, что в реализации интернет-магазина есть место, где данные платежных карт еще не зашифрованы и именно туда хакеры и внедрили код для кражи карт.
Существует ненулевая вероятность того, что эта проблема есть не только в интернет-магазине OnePlus, но и в других подобных магазинах, построенных на платформе Magento.
Случаи утечек данных покупателей из интернет-магазинов совсем не редки. Недавно была утечка персональных данных клиентов сети закусочных SUBWAY в Англии.
Из физических точек продаж с POS-терминалами данные тоже утекают. В конце прошлого года выяснилось, что розничная сеть Forever 21 расследует потенциальную утечку данных платежных карт покупателей.
Автор: Ашот Оганесян
Подписаться на статьи в Telegram -- Утечки информации