中国に本社を置くスマートフォンメーカーのOnePlusは2018年1月19日(米国時間)、「[Jan 19 Update] An Update on Credit Card Security|Announcements|OnePlus」において、最大4万人の顧客クレジットカード情報が窃取された可能性があると発表した。
2017年11月中旬から2018年1月11日の間に、oneplus.netの決済ページでクレジットカード情報を入力したユーザーはクレジットカード情報が窃取された可能性があるとしている。
OnePlusは同社のシステムが攻撃を受け、悪質なスクリプトが決済ページに仕込まれたと説明。このスクリプトがユーザーの入力するクレジットカード情報を窃取して外部に送信していたとしている。同社はすでにこのスクリプトはサーバから削除したという。
OnePlusは影響を受けたと見られるユーザーに対して通知を行うとともに、クレジットカードの状態をチェックし、もし身に覚えのない履歴があるのであれば関連金融機関へ報告するように求めている。
今回のセキュリティインシデントについては、複数のユーザーがクレジットカードの不正利用を指摘していたほか、2018年1月15日にFirstpostに掲載された記事「Multiple OnePlus customers claim incidents of fraudulent credit card transactions, after purchasing products from official website」が詳細を伝えていた。
OnePlusはこうした指摘や報道を受けて調査を開始。1月19日の時点で、フォーラムに調査結果を報告したとしている。