Çin merkezli akıllı telefon üreticisi OnePlus, garanti dışı onarım faturalama sistemindeki bir güvenlik açığını düzelttiğini açıkladı. 30 Haziran’da keşfedilen güvenlik açığının; telefon modeli, telefon numaraları, e-posta adresleri, IMEI numaraları ve fiziksel adresler gibi müşteri bilgilerini ifşa ettiği, güvenlik açığından yalnızca ABD’deki kullanıcıların etkilendiği belirtiliyor.
Android Police, bir okuyucu tarafından paylaşılan bilgiler sayesinde güvenlik açığını ortaya çıkardığını ve sorunu çözmek için OnePlus’a bilgi verildiğini söylüyor. Şirket tarafından yapılan açıklamada ise güvenlik açığının 2 Temmuz tarihinde giderildiği, güvenlik açığı yoluyla verilere “kasıtlı erişim girişimleri için hiçbir kanıt bulunamadığını” bildirildi.
Söz konusu güvenlik açığı, şirketin onarım faturalandırma sistemindeki bir hatadan kaynaklanıyordu:
OnePlus’tan yapılan açıklamaya göre şirketin onarım faturalandırma sistemi, garanti kapsamı dışındaki onarımlar veya şirketin garanti değişim programını kullanan müşterilere benzersiz bir üçüncü taraf bağlantısı gönderdi. Kullanıcılara gönderilen bu üçüncü taraf bağlantısı, ödemeleri işlemek için kullanıldığı söyleniyor.
OnePlus, müşteri verilerinin bağlantının oluşturulmasından ödeme bilgilerinin gönderildiği zamana kadar bağlantıda görünür olduğunu, ödeme gönderildikten sonra ise bağlantının devre dışı bırakıldığını söylüyor. Şirket, işleme sürecini korumak için bağlantıya erişirken ek bir doğrulama adımı eklediğinin de altını çiziyor.
ABD’de yalnızca küçük bir müşteri grubunu etkilediğinden şüphe edilen güvenlik açığının ne zamandan beri OnePlus sistemlerinde yer aldığı bilinmiyor. Ancak güvenlik açığı nedeniyle şu bilgilerin saldırganların eline geçmiş olabileceğinden şüphe ediliyor:
- Sipariş numarası
- Telefon modeli
- IMEI
- Sipariş Tarihi
- Ad
- Adres
- Telefon numarası
- E-posta adresi
- Tamir ücreti
Çinli şirket, ilk defa böyle bir güvenlik açığıyla anılmıyor. Geçen yıllarda da benzer problemlerle karşılaşan ve kullanıcı gizliliğine büyük önem verdiğini söyleyen şirket, bu tür sorunların bazılarını tespit etmek ve gelecekte yaşanabilecek veri ihlallerinin önüne geçmek için bir hata ödül programına sahip.
