Der Bezahlvorgang des Smartphone-Herstellers OnePlus wurde mit Schadcode versehen. Durch das unbemerkte Einschleusen eines Codes wurden 40.000 Kreditkartendaten abgegriffen. Problem bei der Sache: Es wurde alles abgegriffen. Nummer, Datum und der Validation Code (meist 3 Ziffern). OnePlus reagierte bereits.
Heutzutage wird sehr viel im Internet bestellt. Vor allem wenn es um die Marke OnePlus geht. Die Marke gehört mit ihren gleichnamigen Handy-Modellen zu den Aufsteigern der letzten 5 Jahre. Die Verfügbarkeit der Smartphones ist in Deutschland immer so eine Sache. Um auf Nummer sicher zu gehen (im wahrsten Sinne), bestellt man die Handys auf der eigenen Webseite. Die ersten Smartphone-Modelle waren ja nur per Einladung verfügbar und beliebt wie nie. Durch geschicktes Marketing, hervorragender Hardware und einen niedrigen Preis machte man sich einen Namen.
Blöd nur wenn die verbreiteste und meist einzige Variante abgehört wurde. Der Bestellvorgang auf OnePlus-Webseite wurde mit Schadcode versehen. So konnten die Hacker bzw. Angreifer alles Daten der Kreditkarte mitlesen, inklusive Validation Code oder auch „Prüfziffer“. Viele Nutzer meldeten sich schon vor Wochen zu Wort, dass auf einmal Buchungen vorgenommen wurden, die sie nicht getätigt hätten.
OnePlus reagierte und teilte (zusammengefasst) mit: „Es betrifft nicht die Kunden, die mit zuvor gespeicherten Kartendaten oder per PayPal bezahlt haben.“ Das heißt also, dass die „Neuanmeldungen“ über den Checkout betroffen waren. Der Server wird im Moment untersucht und ist isoliert worden. Wer ein Smartphone kaufen möchte, kann dies im Moment nur über PayPal tätigen. Betroffene Kunden werden nach und nach benachrichtigt – sobald man mehr Informationen hat.
Umstritten bei der Sache ist, dass die Prüfziffer eigentlich nicht gespeichert werden darf, sondern lediglich die Anfrage überprüft. Der Checkout von OnePlus muss also doch kurz zwischengespeichert haben, da ein Abfangen sonst nicht möglich wäre. Weitere Statements sollten bald folgen.
„Der Checkout von OnePlus muss also doch kurz zwischengespeichert haben, da ein Abfangen sonst nicht möglich wäre.“
Die Theorie halte ich für sehr gewagt.
Die Prüfziffer wird vom Browser mitgeschickt, damit reichen schon zwei bis drei Zeilen in der Nginx-Config aus, um die Kreditkarten-Bezahl-Requests zu loggen. Das gleiche geht mit ein paar Zeilen PHP-Code oder in jeder anderen Sprache. Per packet-sniffer ginge es auch, ebenso per strace oder durch Auslesen des Speichers von Webserver oder Scriptprozess. Wenn noch ein Bezahl-Daemon im Hintergrund läuft, kann der auch leicht kompromitiert werden oder die interne Kommunikation mit ihm abgehört.
TL;DR: Mir fallen in weniger als einer Minute sieben Angriffspunkte ein, die mit sehr wenig bis mittelmäßigem Aufwand ohne jegliche verbotene Speicherung der Daten seitens OnePlus umsetzbar sind.