La violación salió a la luz después de que OnePlus comenzó a informar a los clientes afectados por correo electrónico y publicó una breve página de preguntas frecuentes para divulgar información sobre el incidente de seguridad.
Según OnePlus, la compañía descubrió la violación la semana pasada después de que una parte no autorizada accediera a la información de pedidos de sus clientes, incluidos sus nombres, números de contacto, correos electrónicos y direcciones de envío.
«La semana pasada, mientras supervisaba nuestros sistemas, nuestro equipo de seguridad descubrió que una parte no autorizada accedía a la información de los pedidos de nuestros usuarios», dijo la compañía.
OnePlus también aseguró que no todos los clientes se vieron afectados y que los atacantes no pudieron acceder a ninguna información de pago, contraseñas y cuentas asociadas.
«Los usuarios afectados pueden recibir correos electrónicos no deseados y de phishing como resultado de este incidente».
Aunque la compañía no proporcionó ningún detalle de la vulnerabilidad que los atacantes explotaron para comprometer su tienda, inspeccionó el servidor a fondo para asegurarse de que no haya otras vulnerabilidades similares.
«Tomamos medidas inmediatas para detener al intruso y reforzar la seguridad, asegurándonos de que no haya vulnerabilidades similares», dijo OnePlus. «En este momento, estamos trabajando con las autoridades pertinentes para investigar más a fondo este incidente».
Como resultado de esta violación, la compañía también finalmente decidió lanzar un programa oficial de recompensas por errores a fines de diciembre de 2019, permitiendo a los investigadores y piratas informáticos recibir un pago por informar de manera responsable sobre vulnerabilidades graves antes de que los piratas informáticos puedan hacer más daño.
«Continuamente estamos actualizando nuestro programa de seguridad: nos estamos asociando con una plataforma de seguridad de renombre mundial el próximo mes, y lanzaremos un programa oficial de recompensas por errores a fines de diciembre», dijo la compañía.
Aunque el incumplimiento no involucra la contraseña de su cuenta OnePlus, se le recomienda cambiar la contraseña de su cuenta.
Los clientes afectados de OnePlus también deben sospechar de los correos electrónicos de phishing, que generalmente son el siguiente paso de los ciberdelincuentes en un intento de engañar a los usuarios para que revelen sus contraseñas e información de tarjetas de crédito.
Esta no es la primera vez que OnePlus reporta una violación de datos.
Como informó The Hacker News en enero de 2018, un atacante desconocido pirateó el sitio web de la compañía para robar información de tarjetas de crédito de hasta 40,000 clientes de OnePlus.
Fuente: thehackernews.com