OnePlus, a pesar del aire de compañía nueva y joven, ya lleva algo más de cuatro años en el mercado. En ese tiempo uno cree que una empresa que vende móviles es lo suficientemente madura como para tomarse en serio el sistema de pagos de su web, sobre todo siendo esta la única vía para comprarlos. Sin embargo, y según apunta la compañía, están investigando un posible caso de robo de tarjetas.

Si compraste un OnePlus después de noviembre, probablemente estás afectado

Recientemente, en los foros de OnePlus se publicó una encuesta que preguntaba a los usuarios si habían sufrido cargos fraudulentos en sus tarjetas de créditodespués de haber comprado productos en la página web de OnePlus. En esa encuesta más de 84 usuarios (el 25% de los encuestados) respondieron que se habían visto afectados, de entre los cuales la mayoría había efectuado las compras hace menos de dos meses. En Reddit los comentarios de usuarios afectados suceden, con decenas de usuarios afectados y con posts con cientos de votos positivos. Un usuario recibió un cargo de 200 dólares en Papa John’s, la popular cadena de pizzas americana.

OnePlus se encuentra actualmente investigando el caso después de que hayan saltado todas las alarmas en la compañía durante este fin de semana. De momento no han confirmado el hackeo a su base de datos. OnePlus afirma que no almacenan los datos de las tarjetas de crédito de sus usuarios, sino que los envían cifrados a través de PCI DSS (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago) a la empresa encargada de gestionar los pagos. Si seleccionas la opción de guardar los datos de tu tarjeta para futuras compras, sólo se guarda un token en la web de la compañía, siguiendo gestionándose los datos a través del proveedor de pagos en la próxima compra.

Al parecer, la web de OnePlus no era segura

Desde OnePlus andan actualmente completamente perdidos, ya que afirman que los pagos realizados a través de HTTPS están cifrados y deberían ser prácticamente imposibles de interceptar. Sin embargo, la empresa Fidus afirma que hay un pequeño instante donde los datos se almacenan en la web de OnePlusy podían ser interceptados: entre que se introducen en el formulario y pulsamos el botón de enviar. Además, Fidus dice que la compañía no cumple con los estándares de seguridad PCI DSS de pago.

Si hiciste el pago a través de PayPal no estás afectado. La compañía dice también que estos casos de fraude no están relacionados con el hackeo de Magento hace tres años. Aunque fue usado inicialmente para la web, no se llegó a utilizar para pagos con tarjeta. De momento toca esperar a que OnePlus analice todo lo ocurrido al detalle, para lo cual están llevando a cabo una exhaustiva auditoría, tanto interna como con el gestor de pagos. Inexplicablemente, la compañía todavía permite realizar pagos y comprar productos en su web.

En el caso de que estéis afectados, tenéis que poneros en contacto con vuestro banco y bloquear la tarjeta, pasando posteriormente a emitir vuestra entidad una tarjeta que sustituya a la que ya teníais, y que hará uso del mismo número PINque teníais antes. En el caso de que os hayan cobrado algo, podéis reclamar las cantidades en el banco o dar parte al seguro de vuestra tarjeta.