Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

OnePlus onderzoekt meldingen van creditcardfraude na aankoop via site

Op het OnePlus-forum en op Reddit melden sommige mensen frauduleuze creditcardbetalingen nadat ze een aankoop hebben gedaan op de site van de Chinese smartphonemaker. Het bedrijf zegt een onderzoek uit te voeren.

OnePlus heeft in een forumpost over creditcardveiligheid enkele details genoemd over zijn betalingsproces, maar meldt concreet alleen dat er een 'complete audit' zal komen naar aanleiding van de meldingen. Het bedrijf schrijft dat het geen betaalgegevens opslaat en dat het gebruikmaakt van een betalingsprovider. Ook zegt het niet van Magento gebruik te maken, zoals een post van een beveiligingsbedrijf suggereerde. OnePlus roept gebruikers op hun creditcardbetalingen te controleren.

Momenteel melden 64 mensen dat ze in de afgelopen twee maanden een product via de OnePlus-site hebben gekocht en daarna te maken kregen met frauduleuze betalingen, zo blijkt uit een enquête van een gebruiker. Aan de andere kant zijn er 38 mensen die zeggen een aankoop te hebben gedaan zonder met verdachte transacties te maken te hebben gekregen.

Een en ander betekent niet dat er een direct verband is tussen de aankopen en de fraude, maar sommige gebruikers claimen dat ze hun creditcards in de desbetreffende periode niet voor andere aankopen hebben gebruikt. Ook op Reddit is naar aanleiding van de forumpost discussie ontstaan en mensen geven aan eveneens te maken te hebben gekregen met creditcardaankopen die ze niet zelf hebben gedaan. OnePlus zegt de voortgang van het onderzoek te willen delen.

Door Sander van Voorst

Nieuwsredacteur

15-01-2018 • 13:24

52 Linkedin Google+

Submitter: FREAKJAM

Reacties (52)

Wijzig sortering
Voordat de shitstorm over OnePlus komt:

''I can't believe how misinformed are people around here.

OP doesn't have a payment system but it implements one. Currently they implement a payment from cybersource.com. By law(and common sense) you are forbidden to store credit card information unless you have a payment gateway, which OP does not, however cybersource.com does. So if there is an issue it's on cybersource.com fault which could affect any number of websites what implemented their payment system.

Now about cybersource.com. Indeed such issues can be from them but is less likely, the process of becoming a payment gateway is difficult and standards are high, however in is not impossible to make a mistake.

Indeed OP funcked up in the past but now doesn't seem to be the case.''
Dus gewoon in Nederlands, probleem ligt bij de payment provider waar intern wel een lek zal zitten, iemand die naar data kijkt en bewaard en dat niet mag.
Dan zouden andere bedrijven die bij die payment provider zitten dezelfde fraude moeten hebben ondervonden, en dat is op dit moment niet duidelijk.

Los daarvan kan OnePlus zijn handen niet in onschuld wassen. Als iemand is ingebroken op de webserver dan kan men alsnog de CC gegevens van de klanten onderscheppen.

[Reactie gewijzigd door ArtGod op 15 januari 2018 16:08]

normaal ga je vanuit een webshop naar een payment provider via een ssl verbinding.
Het enige dat na een inbreuk zou kunnen in een man in the middel maar dan moet er weer een geldig ssl certificaat zijn.
Als ze eenmaal op je netwerk zitten dan kunnen ze uiteindelijk overal bij. Het kost gewoon meer tijd.
Als je een payment provider hebt en je voor creditcard betaling naar een andere site gestuurd wordt dan kunnen ze verder niet bij die gegevens. Tenzij men voor jou account bij de provider de logingegevens heeft, zelf dan zie ik bij mijn payment provider in mijn account niet het volledige nummer, laat staan de 3 cijferige code op de achterkant of vervaldatum.
Bij een aankoop van een toestel dien je wel de kredietkaart informatie in te vullen op de website van OnePlus voordat je bij de betalingssysteem van een derde partij beland.
Wat nu te doen?

Aan te raden is dus om te kijken of er vreemde betalingen zijn uitgevoerd. Als dat het geval is, kun je je bank contacteren en vragen om een terugboeking. Kan de bank niets doen? Bekijk dan hier eens voor tips en de werking van zogenaamde 'reason codes': https://chargebacks911.co...-chargeback-reason-codes/

Het vermoeden gaat dat hackers een man-in-the-middle aanval hebben uitgevoerd en maximaal 19271 euro hebben bemachtigd. Hier wat achtergrondinformatie: https://www.fidusinfosec....rs-of-on-site-processing/. Echter schijnt dit weer niet helemaal te kloppen, en één van de moderators legt hier uit waarom: https://forums.oneplus.ne...206/page-10#post-17574355

Omdat ik al langer met wat vragen in m'n hoofd zat over de security, maar meteen een mail gestuurd naar security@oneplus.net met de volgende vragen:
  • How does OnePlus store our sensitive account information?
  • Does OnePlus use hashes (and maybe salts) to store passwords? If so, which method is being used?
  • Has OnePlus anything like a whitepaper or some more in-depth information about security-related things, which are also related to OnePlus?

[Reactie gewijzigd door AnonymousWP op 15 januari 2018 13:59]

Rustig aan met je conclusies :P
De hacker(s) schijnen een man-in-the-middle aanval te hebben uitgevoerd en maximaal 19271 euro te hebben bemachtigd.
Er schijnt nog niks, iemand heeft slechts een vermoeden:
In what looks like a ‘man in the middle attack’, hackers seemed to have siphoned off credit card details of users [...]
Hier wat achtergrondinformatie: https://www.fidusinfosec....rs-of-on-site-processing/. Echter schijnt dit weer niet helemaal te kloppen, en één van de moderators legt hier uit waarom: https://forums.oneplus.ne...206/page-10#post-17574355
Dat artikel heeft OnePlus al ontkracht (zoals je zelf meldt) en is dus niet het vermelden waard. Waarom dat plaatsen als je al weet dat het niks toevoegt :?

Er is nog helemaal niks officieel bekend, behalve wat in dit artikel staat. De rest is niks meer dan speculatie en gokken.

[Reactie gewijzigd door P1nGu1n op 15 januari 2018 13:42]

Dan kunnen we 50% van het nieuws net zo goed alles gaan highlighten als 'schijnt', toch? Niets is met zekerheid te zeggen, dus door nu een gigantisch onderscheid te maken tussen "what looks like" en "schijnen" vind ik nogal overdreven. Ik ga het in ieder geval aanpassen, dank :). Trouwens, dat het ontkracht wordt, gaat over dat achtergrondartikel. Niet over dat van firstpost.
Dat artikel heeft OnePlus al ontkracht (zoals je zelf meldt) en is dus niet het vermelden waard. Waarom dat plaatsen als je al weet dat het niks toevoegt :?
Dat was meer als hapklare brok, voor als mensen dat bericht zouden lezen dat ze geen foutieve informatie zouden krijgen. Naja, maakt verder ook niet uit :). Trouwens, OnePlus zelf heeft het niet ontkracht. Een moderator van OnePlus heeft het ontkracht, dat is wat anders. En oja, om even terug te komen op wat je eerst zei, ook deze moderator zegt "Tl;DR I'm not a professional security expert, but I have my knowledge. My speculations don't replace a proper investigation, but I analysed, why the analysis of fidusinfosec is incorrect, also just a speculation and half clickbait.". Dan kunnen we dat ook meteen bestempelen als "schijnt". ;)

[Reactie gewijzigd door AnonymousWP op 15 januari 2018 14:17]

Dan kunnen we 50% van het nieuws zo goed alles gaan highlighten als 'schijnt', toch? Niets is met zekerheid te zeggen, dus door nu een gigantisch onderscheid te maken tussen "what looks like" en "schijnen" vind ik nogal overdreven. Ik ga het in ieder geval aanpassen, dank :). Trouwens, dat het ontkracht wordt, gaat over dat achtergrondartikel. Niet over dat van firstpost.
schijnt wekt de indruk dat het meer is dan een vermoeden is van iemand.
Dat was meer als hapklare brok, voor als mensen dat bericht zouden lezen dat ze geen foutieve informatie zouden krijgen. Naja, maakt verder ook niet uit :). Trouwens, OnePlus zelf heeft het niet ontkracht. Een moderator van OnePlus heeft het ontkracht, dat is wat anders. En oja, om even terug te komen op wat je eerst zei, ook deze moderator zegt "Tl;DR I'm not a professional security expert, but I have my knowledge. My speculations don't replace a proper investigation, but I analysed, why the analysis of fidusinfosec is incorrect, also just a speculation and half clickbait.". Dan kunnen we dat ook meteen bestempelen als "schijnt". ;)
Deze post is geschreven door een 'staff member' van het 'web team', niet door een willekeurige mod:
Oneplus.net was initially built on the Magento eCommerce platform. However, since 2014 we have been re-building the entire website with custom code, and credit card payments were never implemented in Magento's payment module at all. So no, we shouldn't be affected.​
Komt op mij aardig officieel over...

[Reactie gewijzigd door P1nGu1n op 15 januari 2018 14:15]

'schijnt' wekt de indruk dat het meer is dan een vermoeden is van iemand.
Er zit inderdaad een verschil in, maar het is absoluut geen groot verschil. Heb het daarom ook aangepast.
Deze post is geschreven door een 'staff member' van het 'web team':
quote: https://forums.oneplus.ne...dit-card-security.752415/
Oneplus.net was initially built on the Magento eCommerce platform. However, since 2014 we have been re-building the entire website with custom code, and credit card payments were never implemented in Magento's payment module at all. So no, we shouldn't be affected.​
Komt op mij aardig officieel over...
Ehh, ja, dat is namelijk ook de post die hier in het artikel staat. Die moderator waar ik het over had, was een heel andere reactie dan waar jij naar linkt. Deze namelijk: https://forums.oneplus.ne...206/page-10#post-17574355

Sowieso, wat is er dan anders? Je quote iets uit een reactie, daar heb ik al 2 artikelen met bronnen bij gegeven dat dat dus niet klopt.

[Reactie gewijzigd door AnonymousWP op 15 januari 2018 14:22]

Er zit inderdaad een verschil in, maar het is absoluut geen groot verschil. Heb het daarom ook aangepast.
+1 voor je edit :)
Ehh, ja, dat is namelijk ook de post die hier in het artikel staat. Die moderator waar ik het over had, was een heel andere reactie dan waar jij naar linkt. Deze namelijk: https://forums.oneplus.ne...206/page-10#post-17574355

Sowieso, wat is er dan anders? Je quote iets uit een reactie, daar heb ik al 2 artikelen met bronnen bij gegeven dat dat dus niet klopt.
Jij zei: "OnePlus zelf heeft het niet ontkracht. Een moderator van OnePlus heeft het ontkracht, dat is wat anders.". Waarop ik een quote gaf van een medewerker van OnePlus, om aan te geven dat OnePlus het dus wel officieel ontkracht heeft :)

[Reactie gewijzigd door P1nGu1n op 15 januari 2018 15:00]

Maar dat waar die moderator en die medewerker het over hebben, gaat volgens mij niet over hetzelfde.
Omdat ik al langer met wat vragen in m'n hoofd zat over de security,
Waarom, wat gaf je de indruk dat het niet goed zat?
De laatste tijd hoor je natuurlijk heel veel over datalekken. Bijvoorbeeld op Tweakers lees je er veel over. Bij een aantal (grote) bedrijven lees je ook wel eens dat ze de wachtwoorden in platte-tekst opslaan, wat natuurlijk belachelijk is. Aangezien ik klant bij OnePlus ben, wil ik heel graag weten hoe het bij hun zit.

[Reactie gewijzigd door AnonymousWP op 15 januari 2018 13:49]

Met andere woorden, je hebt geen concrete vragen over het beveiligingsbeleid van OnePlus op basis van nieuws of andere informatie over OnePlus. Je bent in het algemeen bezorgd over je online veiligheid en privacy, waarschijnlijk specifiek bij webshops. Daar is natuurlijk niets mis mee, maar op de manier waarop je het nu stelt komt het anders over.
Ja, en hoe weet ik dan welke sites wel veilig en niet veilig zijn? Daarvoor moet ik dus wat vragen stellen, zodat ik daar antwoord op krijg. Het heeft allemaal met security te maken, dus waarom zou ik het niet meteen vragen? :)
Vragen staat vrij en met je bezorgdheid ben ik het volledig eens dus je actie om vragen neer te leggen bij OnePlus juich ik ook alleen maar toe. Je reacties lijken echter te suggereren dat je concrete vermoedens zou hebben dat er bij OnePlus iets niet goed zou zitten met hun beveiliging, maar behalve dit nieuwsartikel lijk je daar geen enkele bron voor te hebben. Vandaar dat ik vind dat enige nuancering op zijn plaats is.

Ik hoor overigens graag wat de reactie is van OnePlus op jouw vragen, ik ben namelijk klant van ze en dus ook benieuwd naar hun beveiligingsbeleid.
Niet je bank contacteren, maar je credit card maatschappij. Dat is niet altijd je bank namelijk. En dan kun je inderdaad een dispuut opstarten wat zal resulteren in terugboeking.
helemaal geweldig, Top werk,
Bank kan / moet altijd iets doen.

Als jij een betaling betwist krijg jij je centjes terug en moet de tegen partij aantonen dat jij wat gekocht hebt.

Al vaak genoeg meegemaakt en nooit problemen gehad om geld terug te krijgen.
Betreft dit alleen CC betalingen of ook PayPal?
Als het paypal was zou je het veel sneller merken. PayPal is nog strikter en sneller met flaggen van frauduleuze transacties. Daarnaast moet je bij PayPal eerst inloggen (danwel niet met 2fa) voordat je betaling kan doen terwijl credit card alleen nummer, vervaldatum CVC en naam genoeg is om zelfs offline transacties te doen.

Ik had overigens ook net even snel gekeken hoe ik mijn oneplus 3T betaald had, en gelukkig ook met PayPal :)
Plus nog een extra code bij de creditcard, anders zou het de oneerlijke vinder wel erg gemakkelijk worden gemaakt.

[Reactie gewijzigd door Deffab op 16 januari 2018 07:58]

iDeal wins again. Helaas ondersteunde OnePlus die niet dus ik moest met PayPal betalen, een omslachtig systeem maar ook veilig.
Nou nee. iDeal = eerst betalen, dan goederen versturen. Credit card = goederen verstuurd, dan pas betalen. En verzekert. En de mogelijkheid om in een ommedraai je geld terug te krijgen. iDeal moet nog wat stapjes zetten.
Klopt, en je kan je geld via CC ook veel makkelijker terugkrijgen. Ik heb ooit een keer in mijn leven mijn geld niet teruggekregen toen ik iets terugstuurde en de CC maatschappij heeft dit mij toen teruggegeven. Waarschijnlijk hebben zij het gewoon verrekend bij de leverancier. Die kunnen toch niet zonder de CC maatschappij.
Is precies wat er gebeurd. De CC maatschappij vraagt de leverancier om uitleg. En als die niet voldoet, dan wordt de klant in het gelijk gesteld.
Wat maakt mij het uit wanneer OnePlus zijn geld ontvangt? Het is een bedrijf welke groot genoeg is om te vallen wanneer ze klanten belazeren op goederen.

Bovendien kun je duurdere shipping pakken waarbij tracking ook aan staat (en je dus precies kunt zien waar het probleem zit).

Het probleem van CC (zoals aangegeven) is dat je gegevens makkelijk(er) kunt verkrijgen, waardoor fraude mogelijk is. Bij iDeal is de beveiliging gewoon veel stricter. Je kunt niet met dezelfde codes een transactie goedkeuren.

Zelf overigens via PayPal betaald met mijn CC omdat ik niet bij elke winkel mijn CC-gegevens wil laten staan. Zeker als het om eenmalige of sporadische aankopen in webwinkels gaat waar ik niet of nauwelijks ben geweest. En ja PayPal is ook niet heilig, maar de extra laag maakt het verkopers en man-in-the-middle lastiger om mij geld af te troggelen. Want ja terughalen is mogelijk, maar als het helemaal niet gebeurd, is dat toch weer wat veiliger.
Mijn intereseert het ook niet wanneer de leverancier zijn geld ontvangt. Maar het intereseert mij zeer wanneer IK betaal. En ik ga niet vooruit betalen.

Bij iDeal is de beveiliging van gegevens beter, maar de aankoopbescherming is minder en daarom ook de kosten per transactie. En dat is de rede dat bedrijven en de banken het zo pushen.

En ik koop ook meestal per Paypal.
In NL hebben we al genoeg kopersbescherming dat die extra voorwaarden van de creditcard hooguit een leuke extraatje zijn als je ergens gaat kopen waarvan je al vantevoren weet dat ze zich niet aan de nederlandse wet houden.
Het gaat mij niet zozeer om de wettelijke bescherming alswel het hebben van een process wat vlot en zonder veel poespas werkt. Als de verkoper moeilijk doet, dan moet je met iDeal zelf aan de slag. Met een credit card gaat de CC maatschappij voor jou aan de slag.
Bij mij is er IN JUNI al een frauduleuze zaak gebeurd bij de aankoop van mijn One Plus 5.

Daar is toen niet echt gehoor aan gegeven, mijn VISA kaart is toen een goeie maand geblokkeerd gebleven omdat VISA zelf doorhad dat dit abnormale zaakjes waren ( lees: voor 1000 euro dingen kopen op een of andere Maleysische website en voor 2300 euro aan betaalkaarten kopen in Australie... )

Nu had VISA er me zelf over gebeld en die zeiden me dat alles terug te brengen was naar een aankoop gedaan bij OPPO te Hong Kong. Moet denk ik geen tekeningetje maken dat dit te maken heeft met de aankoop van mijn One Plus... Uiteraard heb ik niets moeten betalen en hebben ze me een nieuwe kaart gegeven.

Het is maar om aan te geven dat dit niet echt nieuws is. Ben wel niet verbaast dat ik niet de enige was/ben... Er is denk ik wel degelijk een of ander lek daar... ( of die opgelost is laat ik in het midden )
Ik heb in december een nieuwe Oneplus 5T gekocht via hun site. Ik heb nog geen rare betalingen via mijn creditcard gezien verder. Maar ik hou het voorlopig in de gaten.
Ik kan het verhaal bevestigen: meer dan een maand geleden een aankoop van OP5+ gedaan, gisteren ineens grote reeksen malafide transacties over heel de wereld. Gelukkig wel ontdekt door Worldline en kaart automatisch geblokkeerd. Gelukkig dus tijdig en zonder gevolgen voor het saldo op mijn bankrekening...

Waarschuwing: iedereen die eerder aankopen deed: het is niet omdat je kaart niet meteen misbruikt is, dat ze ook veilig is. Best toch na afgelopen OP aankopen je kaart preventief laten blokkeren en nieuwe aanvragen, lijkt me.

Uiteraard kan ik géén uitspraak doen of dit een fout is van OP of van de beheerder van de betalingsprovider of van andere partijen.
Bij wie kan je dit probleem neerleggen? Ik bedoel jou creditcard bedrijf zal ook zeggen. Los het eerst op met de verkoper. Maar als die het niet doet en er is een soort dubieuze tussenpartij? Dan kan je als klant zijnde nergens meer naar toe?
Je kan via je credit card maatschappij een chargeback laten uitvoeren (soort van storneren met automatische incasso). Dus in principe, indien er geen reactie komt vanuit de merchant, kan je op deze manier je geld toch terugvorderen.
Dat is niet zo volgens mij. Juist creditcard bedrijven zijn erg eager fraude op te sporen en te voorkomen.
Zie ook mijn bericht waar ik dit uitleg: AnonymousWP in 'nieuws: OnePlus onderzoekt meldingen van creditcardfraude na ....
Aan te raden is dus om te kijken of er vreemde betalingen zijn uitgevoerd. Als dat het geval is, kun je je bank contacteren en vragen om een terugboeking. Kan de bank niets doen? Bekijk dan hier eens voor tips en de werking van zogenaamde 'reason codes': https://chargebacks911.co...-chargeback-reason-codes/

[Reactie gewijzigd door AnonymousWP op 15 januari 2018 13:31]

Dat is niet waar. Er is toevallig in december fraude gepleegd op mijn creditcard (ik heb een OnePlus 3 van anderhalf jaar geleden dus verwacht niet dat het daar mee te maken heeft, maar oorzaak is nog steeds onbekend), ik meteen gebeld en de frauduleuze afschrijvingen doorgegeven, pas werd netjes meteen geblokkeerd, 4 dagen later zag ik in de app dat de gefraudeerde betalingen teruggestort waren. Ondertussen had ik al bericht gehad voor nieuwe pincode en nieuwe kaart enkele dagen later thuisgestuurd gekregen.

Mevrouw aan de telefoon zei dat je daar gewoon tegen verzekerd bent en dat ze daar een onderzoek naar instellen.
mij werd altijd andere dingen verteld. Had ANWB creditcard gold.
Moest meteen naar de ''verkoper'' eerst met hem regelen en binnen 72 dagen moest ik terug komen als het niet opgelost was.
Ik heb 2 weken geleden een Autolader gekocht in de webshop van OnePlus.
Gelukkig betaald met PayPal _/-\o_

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True