Çin merkezli akıllı telefon üreticisi OnePlus, garanti dışı tamirat faturalama sistemindeki bir güvenlik açığını düzelttiğini açıkladı. 30 Haziran’da keşfedilen güvenlik açığının; telefon modeli, telefon numaraları, e-posta adresleri, IMEI numaraları ve fizikî adresler üzere müşteri bilgilerini ifşa ettiği, güvenlik açığından sırf ABD’deki kullanıcıların etkilendiği belirtiliyor.
Android Police, bir okuyucu tarafından paylaşılan bilgiler sayesinde güvenlik açığını ortaya çıkardığını ve sorunu çözmek için OnePlus’a bilgi verildiğini söylüyor. Şirket tarafından yapılan açıklamada ise güvenlik açığının 2 Temmuz tarihinde giderildiği, güvenlik açığı yoluyla datalara “kasıtlı erişim teşebbüsleri için hiçbir ispat bulunamadığını” bildirildi.
Kelam konusu güvenlik açığı, şirketin tamirat faturalandırma sistemindeki bir kusurdan kaynaklanıyordu:
OnePlus’tan yapılan açıklamaya nazaran şirketin tamirat faturalandırma sistemi, garanti kapsamı dışındaki tamiratlar yahut şirketin garanti değişim programını kullanan müşterilere eşsiz bir üçüncü taraf ilişkisi gönderdi. Kullanıcılara gönderilen bu üçüncü taraf teması, ödemeleri işlemek için kullanıldığı söyleniyor.
OnePlus, müşteri bilgilerinin irtibatın oluşturulmasından ödeme bilgilerinin gönderildiği vakte kadar kontakta görünür olduğunu, ödeme gönderildikten sonra ise ilişkinin devre dışı bırakıldığını söylüyor. Şirket, sürece sürecini korumak için ilişkiye erişirken ek bir doğrulama adımı eklediğinin de altını çiziyor.
ABD’de sadece küçük bir müşteri kümesini etkilediğinden kuşku edilen güvenlik açığının ne vakitten beri OnePlus sistemlerinde yer aldığı bilinmiyor. Fakat güvenlik açığı nedeniyle şu bilgilerin saldırganların eline geçmiş olabileceğinden kuşku ediliyor:
- Sipariş numarası
- Telefon modeli
- IMEI
- Sipariş Tarihi
- İsim
- Adres
- Telefon numarası
- E-posta adresi
- Tamir fiyatı
Çinli şirket, birinci kere bu türlü bir güvenlik açığıyla anılmıyor. Geçen yıllarda da emsal sorunlarla karşılaşan ve kullanıcı saklılığına büyük ehemmiyet verdiğini söyleyen şirket, bu cins problemlerin kimilerini tespit etmek ve gelecekte yaşanabilecek data ihlallerinin önüne geçmek için bir kusur ödül programına sahip.
