• IT-Karriere:
  • Services:

Magento: Kreditkartendaten von bis zu 40.000 Oneplus-Käufern kopiert

Oneplus hat seine Untersuchung zu kopierten Kreditkarten abgeschlossen. Angreifer konnten wohl eine Schwachstelle für Cross-Site-Scripting ausnutzen.

Artikel veröffentlicht am ,
Kreditkarten
Kreditkarten (Bild: Matt Cardy/Getty Images)

Oneplus hat sich bei betroffenen Kunden für den Missbrauch von Kreditkartendaten im eigenen Onlineshop entschuldigt. Das Unternehmen arbeitet nach eigenen Angaben mit einem externen Dienstleister zusammen, um den Vorfall vollständig aufzuklären.

Stellenmarkt
  1. Vorwerk Services GmbH, Wuppertal
  2. Deutsche Rentenversicherung Bund, Berlin

Oneplus hatte zum Start des Shops auf das Shopsystem Magento gesetzt, das seit Jahren immer wieder durch Sicherheitslücken auffällt. Weil die Daten der Kunden auf der Webseite selbst eingegeben wurden, gelang es Angreifern offenbar, diese mitzuschneiden und für betrügerische Einkäufe zu missbrauchen. Nach Angaben von Oneplus konnten Angreifer in den Server eindringen und ein Skript platzieren. Vermutlich nutzten sie eine XSS-Schwachstelle, auch wenn Oneplus das nicht wörtlich schreibt.

Nach Angaben des Unternehmens konnten die Angreifer Kreditkartennummern, Gültigkeitsdatum und den meist dreistelligen Sicherheitscode abfangen. Diese Angaben reichen bei vielen Anbietern aus, um Einkäufe zu tätigen - falls nicht auf ein Sicherheitssystem wie Verified by Visa oder eine Transaktions-PIN gesetzt wird. Laut Oneplus sind bis zu 40.000 Nutzer betroffen.

Kunden sollen Abrechnungen prüfen

Kunden sollten ihre Kreditkartenabrechnungen genau prüfen. Oneplus sucht derzeit nach einem "gangbaren" Weg, um betroffenen Kunden für ein Jahr kostenfreies Monitoring der Kreditkartentransaktionen anzubieten. Entsprechende Dienste sind in den USA jedoch deutlich weiter verbreitet als in Deutschland.

Nach Angaben des Anbieters sind Nutzer nicht betroffen, wenn sie über Paypal gezahlt oder aber bereits im System des Zahlungsdienstleisters hinterlegte Karten genutzt haben. Auch wer mit der Kreditkarte, aber über Paypal gezahlt hat, sollte nicht betroffen sein. Oneplus bedankt sich bei dem Twitternutzer @superdutynick für den Hinweis.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zu den Kommentaren springen
Meistgelesen
  1. Datenschutz
    Rechtsanwaltskanzlei zählt 160.000 DSGVO-Verstöße
  2. United States Space Force
    Sternenflotten-artiges Logo verärgert Star-Trek-Fans
  3. Wasserverbrauch
    Musk verteidigt Gigafactory als umweltfreundlich
  4. Star Trek: Picard
    Der alte Mann und das All
  5. Passwortherausgabe
    Bundesdatenschützer warnt vor Klartextspeicherung
Anzeige
Top-Angebote
  1. (u. a. HP Omen 25 FHD/144 Hz für 169€, MSI Optix MAG271CQP WQHD/144 Hz für 339€ und...
  2. 159€ (neuer Tiefpreis)
  3. 119,90€ (Vergleichspreis 148,95€)
  4. 99,99€
Kommentarübersicht
40000 mal $50
derdiedas 21. Jan 2018

macht zwei Millionen Strafe von den Kreditkatenprovidern, denn das sind deren Sätze wenn...

Re: Ein ungefährer Zeitrahmen in dem das Leck...
Bigfoo29 21. Jan 2018

Warum zur Hölle findest DU das und eine Golem-Redaktion(!) nicht? Es ist schon ein wenig...

Re: Weil gängige KK Abrechnungsbuden so nicht...
das_mav 20. Jan 2018

Eine die nur im EU-Ausland umsonst abheben darf. Als Hamburger hab ich aber wenig Lust...

Re: Überschrift ist kacke
Niaxa 19. Jan 2018

Aha. Bin nicht deiner Meinung zudem gibts nen kurzen informativen Einleitungstext, der...

Folgen Sie uns
       
Blackmagic Pocket Cinema Camera 6k im Test

Die neue Pocket Cinema Camera 6k von Blackmagicdesign hat nur wenig mit DSLR-Kameras gemein. Die Kamera liefert Highend-Qualität, erfordert aber entsprechendes Profiwissen - und wir vermissen einige Funktionen.

Blackmagic Pocket Cinema Camera 6k im Test Video aufrufen
Microsoft
Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Datenleck Microsoft-Datenbank mit 250 Millionen Support-Fällen im Netz
  2. Office 365 Microsoft testet Werbebanner in Wordpad für Windows 10
  3. Application Inspector Microsoft legt Werkzeug zur Code-Analyse offen
Citrix
Shitrix: Das Citrix-Desaster
Shitrix
Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.
Ein IMHO von Hanno Böck

  1. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update
Rollenspiel
30 Jahre Champions of Krynn: Rückkehr ins Reich der Drachen und Drakonier
30 Jahre Champions of Krynn
Rückkehr ins Reich der Drachen und Drakonier

Champions of Krynn ist das dritte AD&D-Rollenspiel von SSI, es zählt zu den Highlights der Gold-Box-Serie. Passend zum 30. Geburtstag hat sich unser Autor den Klassiker noch einmal angeschaut - und nicht nur mit Drachen, sondern auch mit dem alten Kopierschutz gekämpft.
Ein Erfahrungsbericht von Benedikt Plass-Fleßenkämper

  1. Dungeons & Dragons Dark Alliance schickt Dunkelelf Drizzt nach Icewind Dale
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /