在公司加速推出OnePlus Nord的同时,已经发现一个安全漏洞,该漏洞可能导致用户数据泄漏。值得庆幸的是,该漏洞仅涉及一小部分用户,OnePlus声称该泄漏尚未被任何恶意软件利用。
该漏洞最早由Android Police报道,是在OnePlus的保修外维修发票系统中发现的,该漏洞影响了美国的一小部分用户。发票系统由第三方运行。该出版物通知OnePlus,并共同努力解决了该问题。
如果利用了此漏洞,他们将能够查看想要修复其保修期外的OnePlus设备的用户数据,因此必须付费。通过发票,某人可以访问诸如电话号码,型号,IMEI,订购日期,名称,地址,电子邮件地址和维修费用之类的数据。OnePlus坚称从未披露过信用卡详细信息。
修复漏洞后,OnePlus向Android Police发出了详细声明,内容为:
“ 7月2日,我们美国维修服务提供商的网站上修复了一个漏洞。美国的OnePlus客户需要支付超出保修期的维修费用,或者选择使用我们最近推出的保修兑换计划的客户,将收到一个唯一的第三方链接来处理他们的付款。从生成付款链接并将其通过电子邮件发送给客户开始,直到提交付款信息为止,该链接上都可以看到该客户的姓名,送货地址,电子邮件地址,设备型号和IMEI。提交用户的付款信息后,该链接立即变为无效。为了进一步确保此过程的安全,将从下周初开始需要执行其他验证步骤。
在与我们的供应商一起进行全面调查之后,我们没有发现任何有意尝试访问这些URL的证据。
此外,从未访问过任何信用卡详细信息或付款信息。
用户隐私是OnePlus的首要任务,对于由此可能引起的任何担忧,我们深表歉意。近年来,我们在自己的平台上进行了重大的安全性增强,并正在努力进一步改进。我们还已经在改善内部流程,以更快地响应外部漏洞,并将与第三方供应商紧密合作,以更好地确保其平台的安全性。”
值得一提的是,该漏洞仅影响一小部分用户,并且被OnePlus迅速修复,后者声称在暴露之前并没有落入他人之手。OnePlus还卷入了2018年和2019年的数据泄漏争议中,实际上看到了恶意第三方访问用户数据。目前,OnePlus在开票过程中引入了新的验证步骤,并清除了发票中的所有身份详细信息。