Zugriff auf sensible Daten: OnePlus räumt Datenleck ein
Erneut konnten Angreifer bei OnePlus über einen unbekannten Zeitraum auf sensible Kundendaten zugreifen. Betroffen sind auch Käufer aus Deutschland.
OnePlus hat zum zweiten Mal innerhalb von nicht einmal zwei Jahren ein Datenleck eingeräumt. In der vergangenen Woche habe das Sicherheitsteam festgestellt, dass Unbefugte Zugriff auf verschiedene Daten erlangen konnten, so das Unternehmen in seinem Forum. Dazu sollen Klarnamen, Telefonnummern und Lieferadressen gehören – darunter auch von Kunden aus Deutschland. Andere sensible Informationen wie Kreditkarten- oder andere Zahlungsdaten, Passwörter und Nutzerkontennamen seien hingegen ausreichend geschützt gewesen. Betroffene habe man bereits informiert.
Viele Fragen bleiben unbeantwortet
Warum OnePlus das Problem erst nach mehreren Tagen eingeräumt hat, bleibt unbeantwortet. Gleiches gilt für die Anzahl der betroffenen Kunden, den Zeitraum und den Weg, auf dem die Angreifer an die Daten gelangen konnten. Die Wortwahl des Unternehmens, "within certain orders may have been exposed", lässt jedoch darauf schließen, dass es sich um eine Schwachstelle im Online-Shop gehandelt hat.
Im OnePlus-Forum haben sich bereits zahlreiche Betroffene gemeldet, die von vermehrten Spam- und Phishing-Nachrichten an die betroffenen Email-Adressen berichten.
Inzwischen will OnePlus das Datenleck geschlossen und keine weiteren Lücken entdeckt haben. Dennoch will man weitere Maßnahmen ergreifen, um den Schutz der Kundendaten zu verbessern. Dabei sollen ein externer Dienstleister sowie ein Bug-Bounty-Programm helfen, dessen Start für Ende 2019 geplant ist.
Schon 2018 gab es massive Datenschutzprobleme
Warum derartige Maßnahmen erst jetzt ergriffen werden, dürften Datenschützer in den kommenden Wochen häufiger fragen. Denn erst im Januar 2018 gelangten Angreifer durch das Einschleusen von Schadcode an Kreditkartendaten von 40.000 Kunden. Dabei stellte sich heraus, dass OnePlus die Vorgaben bei der Bezahlung per Kreditkarte missachtet hatte.
Denn neben der Kreditkartennummer, dem Namen des Inhabers sowie dem Verfallsdatum gelangten die Angreifer an den Card Validation Code (CVC). Dieser darf im Rahmen des Bezahlvorgangs zwar abgefragt, nicht aber gespeichert werden. (pbe)