Daten von 40.000 Kreditkarten bei OnePlus kompromittiert
Durch Einschleusen von Schadcode in die Payment-Seite des Smartphone-Herstellers OnePlus konnten die kompletten Kreditkartendaten von 40.000 Kunden abgegriffen werden.
(Bild: dpa, Jens Büttner)
In einem Posting im OnePlus-Forum musste der Smartphone-Hersteller OnePlus zugeben, dass es über zwei Monate lang möglich war, auf seiner Bezahlseite eingegebene Kreditkartendaten auszuspähen. Durch eingeschleusten Code war es möglich, nicht nur Namen, Kartennummer und Verfallsdatum abzugreifen, sondern auch den zugehörigen Card Validation Code (CVC). Der CVC darf eigentlich nur während eines Bezahlvorgangs abgefragt, aber nicht gespeichert werden.
Nach Aussage von OnePlus betrifft dies nicht Kunden, die mit zuvor gespeicherten Kartendaten oder per PayPal bezahlt haben. Der betroffene Server sei isoliert worden, das ganze System werde untersucht. Kreditkartenzahlungen wurden ausgesetzt, es steht derzeit nur PayPal als Bezahlmethode zur Verfügung.
PCI Compliance umstritten
Umstritten ist der Grund für den Fehler. Während die britischen Security-Spezialisten von Fidus auf die Nutzung des unsicheren Magento-Add-ons CyberSource verweisen, bestreitet OnePlus dessen Einsatz. Man habe zwar anfangs das Shopsystem Magento genutzt. dies aber umfasssend überarbeitet und dessen Bezahlmodule nie eingesetzt.
Auch der Vorwurf von Fidus, OnePlus habe die PCI-Vorgaben gebrochen, ist strittig, Es geht dabei um die Vorschrift der Payment Card Industry, Kreditkartendaten nur auf besonders gesicherten Servern von Bezahldienstleistern zu speichern und nicht auf Shopsystemen. (js)
