La compañía china de teléfonos Android OnePlus está en el centro de una tormenta de quejas después de que muchos clientes dijeron que sus tarjetas de crédito habían sido utilizadas para transacciones fraudulentas después de comprar productos en la tienda web de OnePlus.

¿Que pasó?

Después de recibir varias quejas de clientes en el foro de soporte de OnePlus y en la plataforma de redes sociales Reddit durante el fin de semana que vinculaba compras en su sitio web oneplus.net con cuentas de clientes de actividad fraudulenta, OnePlus emitió un comunicado diciendo que inició una investigación sobre los reclamos.

Los clientes afectados parecen ser aquellos que compraron un teléfono directamente a través del sitio web de la empresa con su tarjeta de crédito en lugar de usar un tercero como PayPal.

Una encuesta en el foro de soporte de OnePlus indica que hasta 200 personas en diferentes países han visto cargos fraudulentos, que van desde $ 50 a $ 3,000, aparecen en las tarjetas de crédito que usaron en el sitio de OnePlus.

Teorías y Negación

Las teorías sobre lo que pudo haber sucedido incluyen el hecho de que el sitio web electrónico Oneplus.net de la compañía se construyó inicialmente en la plataforma de comercio electrónico Magento, que se sabía que era vulnerable a los ataques de ejecución remota de código y secuencias de comandos entre sitios. OnePlus ha dicho, sin embargo, que aunque había usado la plataforma originalmente, desde 2014 había estado reconstruyendo todo el sitio web con un código personalizado y acreditando que los pagos con tarjeta nunca se implementaron en el módulo de pago de Magento.

Otra teoría, impulsada por una auditoría de seguridad realizada por Fidus, se centra en la idea de que OnePlus puede haber estado realizando transacciones con tarjeta por sí mismo, en lugar de a través de un iFrame, lo que hace que los detalles de la tarjeta de crédito (incluido el código de seguridad) sean vulnerables a la intercepción cuando pasaban por OnePlus. sitio. OnePlus lo ha negado, diciendo que no ha estado procesando tarjetas por sí mismo, no guarda ninguna información de pago entregada cuando las personas compraron sus teléfonos y que simplemente pasa todos los datos a un socio que maneja el proceso de pago.

Problemas en el pasado

Algunas de las acusaciones están alimentadas por el hecho de que, el año pasado, OnePlus admitió que algunos de sus teléfonos habían estado enviando datos a Alibaba sin el conocimiento o consentimiento del usuario, violando así la ley de protección de datos en Europa. Además, la empresa admitió que en algunos teléfonos se había dejado una herramienta de diagnóstico secreta e insegura.

¿Qué significa esto para tu negocio?

La confianza del cliente es primordial en los negocios, y las empresas tienen la responsabilidad de asegurarse de que todos los datos y la privacidad de los clientes estén protegidos. La introducción de GDPR este año debería ayudar a impulsar este mensaje aún más hacia la cima de la agenda comercial. Esta historia nos recuerda que, en una época en la que tenemos más confianza que nunca para comprar en línea, todavía existen vulnerabilidades de seguridad básicas en algunos casos en los que se envían números de tarjetas de crédito a través de formularios.

Lamentablemente, como en tantos casos, las infracciones y las vulnerabilidades de seguridad no son reveladas primero por la propia empresa, sino por los clientes e investigadores afectados u otros terceros. En el caso de OnePlus, como en tantos otros, los clientes han acusado a la compañía de tardar en responder al problema.

Las empresas necesitan probar y auditar sus sistemas de pago para asegurarse de que ofrecen la máxima seguridad y comodidad a los clientes.

Esta historia también debería ser un recordatorio de lo importante que es tener un Plan de Recuperación de Desastres y un Plan de Continuidad de Negocios viables, bien comunicados y actualizados.

En el caso de OnePlus, aún no se ha revelado más información sobre qué sucedió exactamente y por qué. La propia compañía ha aconsejado a los clientes que creen que pueden haber sido afectados que verifiquen los extractos de sus tarjetas y se comuniquen con sus bancos para resolver cualquier cargo sospechoso y ayudar a iniciar una devolución de cargo y evitar cualquier pérdida financiera.