Suite à des achats par CB réalisés sur le site OnePlus, de nombreux clients se déclarent victimes d’achats frauduleux via leurs cartes bancaires. La société de sécurité Fidus détecte une faille dans la plateforme Magento utilisée sur le site du fabricant.
Fraude ou faiblesse de la plate-forme Magento, les clients doutent
Après avoir effectué des achats en ligne par carte bancaire sur le site de OnePlus, des dizaines de clients auraient ensuite été victimes d’achats frauduleux sur la dite carte. Au nombre d’environ 80, l’un d’eux précise « Je n’utilise pas souvent ces cartes, le seul endroit où j’ai utilisé les deux dans les six derniers mois est le site de OnePlus ».
C’est en effet toute une série d’arnaques à la carte bancaire qui auraient été commises depuis le 12 janvier 2018, comme le précisent les victimes sur le forum de OnePlus. La plupart semblent d’accord sur le fait de n’avoir utilisé leur carte que sur le site de OnePlus, écartant ainsi toutes autres hypothèses.
Une analyse réalisée par l’organisme Fidus révèle que Magento, le support en ligne utilisé par OnePlus, a déjà fait l’objet de soucis de ce type par le passé. Notons qu’en 2015, Sucuri le spécialiste en sécurité informatique avait déjà mis en évidence un code malicieux qui sévissait sur Magento.
OnePlus s’explique sur le sujet, mais méfiance quant à l’utilisation des cartes bancaires
Les témoignage des victimes se recoupent, et le doute s’installe parmi les clients en ligne de OnePlus. Aussi certains conseillent de n’utiliser sur ce site que des cartes éphémères, uniques et temporaires, ou encore de préférer comme mode de paiement le système PayPal.
Le constructeur chinois certifie que la fonction « enregistrer cette carte pour les transactions futures » du site n’enregistre pas réellement les coordonnées bancaires des usagers et ne sert qu’à les identifier plus facilement lors de leurs achats futurs. OnePlus précise également ne pas être concerné par le bug mis en évidence précédemment sur Magento.
La marque n’a pour l’heure pas pris de mesure particulière, assurant que son système HTTPS rend très improbable l’hypothèse de l’utilisation de malware ou autres logiciels pernicieux sur son site.
