Namen, adressen en telefoonnummers van OnePlus-gebruikers zijn gestolen

OnePlus heeft last van een datalek. Namen, telefoonnummers en adresgegevens van een onbekend aantal gebruikers zijn buitgemaakt, schrijft het bedrijf. OnePlus zegt dat het eind december met een eigen bugbountyprogramma komt.

OnePlus zegt dat er geen creditcard- of bankgegevens zijn gestolen. Wel zijn namen, leveradressen en contacttelefoonnummers buitgemaakt. Het lijkt er daardoor op dat het gaat om een lek bij gebruikers die ooit een garantieverzoek hebben ingediend bij OnePlus, maar dat is niet zeker. OnePlus schrijft dat getroffen gebruikers mogelijk slachtoffer kunnen worden van spam- of phishingmails.

Het is niet bekend hoe de hackers op de systemen van OnePlus zijn binnengedrongen. OnePlus heeft getroffen slachtoffers een e-mail gestuurd. Verschillende tweakers hebben die ook gekregen en laten zien. Het bedrijf heeft inmiddels ook een blogpost geplaatst met informatie. Volgens OnePlus hebben alle slachtoffers een bericht gekregen; gebruikers die dat niet hebben zijn niet getroffen door de hack. Het is niet duidelijk om hoeveel gebruikers het gaat.

Het is niet de eerste keer dat OnePlus te maken heeft met een datalek. In 2018 werden er 40.000 creditcardgegevens gestolen door een kwetsbaarheid op de website. Ook bleek er in 2017 een mogelijkheid in de telefoon te zitten om makkelijk roottoegang te krijgen. OnePlus zegt in de blogpost over het datalek dat het eind december met een eigen bugbountyprogramma komt. Details daarover, zoals de scope en de beloningen, zijn echter nog niet bekend.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 22-11-2019 19:39
72 • submitter: HuntingVillager

22-11-2019 • 19:39

72

Submitter: HuntingVillager

Lees meer

OnePlus begint bug bounty-programma met beloningen tussen 50 en 7000 dollar
OnePlus begint bug bounty-programma met beloningen tussen 50 en 7000 dollar Nieuws van 20 december 2019
Klantgegevens van Bol.com-partner Toppie Speelgoed zijn na hack online te koop
Klantgegevens van Bol.com-partner Toppie Speelgoed zijn na hack online te koop Nieuws van 9 december 2019
Beveiliging en antivirus OnePlus Datalek

Reacties (72)

-Moderatie-faq
72
67
37
1
0
19
Wijzig sortering

Sorteer op:

Weergave:
AOC 22 november 2019 19:58
Ik heb geen mail gehad maar heb wel garantieverzoek gedaan vorig jaar. Zal ik dan geluk hebben of heeft niet iedereen de mail ontvangen
mugenmarco @AOC22 november 2019 20:37
Ik heb geen mail gehad maar heb wel garantieverzoek gedaan vorig jaar. Zal ik dan geluk hebben of heeft niet iedereen de mail ontvangen
Het lijkt er daardoor op dat het gaat om een lek bij gebruikers die ooit een garantieverzoek hebben ingediend bij OnePlus, maar dat is niet zeker.

Het is niet zeker dat het alleen gaat om mensen die een garantieverzoek hebben ingediend.
Mangu429 @mugenmarco23 november 2019 10:07
Het is niet zeker dat het alleen gaat om mensen die een garantieverzoek hebben ingediend.
Niet alleen, maar in elk geval wel mensen die een garantieverzoek hebben ingediend. Waterkoker is daar een van maar heeft toch geen email ontvangen.
DaManiac @Mangu42924 november 2019 10:01
Kan natuurlijk gaan over een bepaald reparatiecentrum, of een bepaalde afdeling. Hoeft niet ALLE garantieverzoeken te zijn.
Tweekzor @AOC22 november 2019 20:47
Ik heb geen garantieverzoek ingediend maar ik heb de mail ook gekregen. Dus daar lijkt het niet te zitten. Ben wel lid van het forum, maar daar heb ik dan weer geen telefoonnummer ingegeven.
savagemick @Tweekzor23 november 2019 10:44
Klopt. Ik heb de mail ook. Nooit beroep gedaan op garantie dus die aanname klopt niet.
Jerie @AOC22 november 2019 20:37
Spamfilter?
Heidistein @AOC22 november 2019 22:20
Ik heb dat precies andersom dus ;-)
Grappig dat.
Barnagma @AOC25 november 2019 09:29
Ik heb nog nooit een garantie verzoek ingediend bij OnePlus. Alleen ~3 en half jaar geleden een telefoon daar aangeschaft. En ik heb wel de email gekregen.
IThom 22 november 2019 20:00
Wat voegt de "Ook bleek er in 2017 een mogelijkheid in de telefoon te zitten om makkelijk roottoegang te krijgen." toe aan dit artikel als ik vragen mag?
stefanass @IThom22 november 2019 20:07
Dat OnePlus op verschillende vlakken qua beveiliging wat steken heeft laten vallen.
Jeebus @IThom22 november 2019 20:15
Nou, dat op security gebied Oneplus eerder een steek heeft laten vallen.
Nyarlathotep @IThom22 november 2019 20:02
Wat denk je nou zelf :?

Ik heb zelf de mail gehad om 18:45. Beetje jammer dit... Maar gelukkig gaat het hier niet om gevoelige data.
Maar even extra op phishing mailtjes letten...
kuurtjes @IThom22 november 2019 20:20
Bedankt om het aan te kaarten. Het heeft inderdaad niets te maken met een "lek".
chinchan9 @IThom22 november 2019 23:04
het verder tweaken van je telefoon dan de basic settings zoals een betere kernel draaien of betere bluetooth codex voor nog beter geluid etc.
BlaDeKke @chinchan925 november 2019 11:37
In dit geval eerder kwaadwillenden die root rechten verkrijgen op je Phone met alle gevolgen van dien.
yvez 22 november 2019 20:01
Ik heb de email ook gekregen. Beetje jammer. Ik was zo een grote OP fan, maar dat is de laatste jaar wel anders...en dit is helaas weer een smet.
Richo999 @yvez22 november 2019 20:16
Elk bedrijf heeft hier last van, hacken kan je nooit tegen gaan.
Horatius @Richo99922 november 2019 20:42
Wat een bullshit.
Ik heb nog nooit gehoord dat Apple, Microsoft of Google en datalek heeft gehad van zo een magnitude. En reken maar dat die een enorm target zijn.
Er is een reden dat ze niet tot zelden gehackt worden, zij hebben de boel op orde.
Ja het is waar dat je nooit hackproof bent tenzij je air-gapped(dan nog) bent maar dat betekent niet dat je je erbij moet neerleggen, dat dit gewoon gebeurt en het bedrijf geen extra blik waardig keuren.
RebelwaClue @Horatius22 november 2019 20:49
Pardon? Ook die zijn wel eens gehackt op grote schaal Apple, Microsoft, Google
vj_slof @RebelwaClue22 november 2019 21:16
ja maar de bestanden op de servers van apple waren in ieder geval nog versleuteld dus de beste jongen kon er verder ook niks mee. wel een knappe prestatie maar compleet nutteloos geweest. bij deze hack bij op is er wel wat bruikbaars buit gemaakt.
telenut @RebelwaClue23 november 2019 10:41
Net eens gekeken naar link van google, daaruit kan ik niet opmaken dat google gehacked is. Mogelijks een forum waar mensen hun login en wachtwoord hebben ingegeven van hun google account...
Blizz @telenut23 november 2019 21:01
Deze was legit. De bronnen van de wachtwoorden lijken verschillende leaks te zijn geweest, maar het valt niet uit te sluiten dat Google een van de bronnen was.
We.are.cake @RebelwaClue22 november 2019 21:12
https://www.onemorething....loud-geen-gevoelige-data/
We.are.cake @Rabb23 november 2019 12:41
Uit je eigen gelinkte stukje.

"Hij deed zich in phishingmails voor als een beveiligingsmedewerker van Apple om zo achter inloggegevens te komen."

Wiens schuld is het dan? Niet die van Apple.

En dit zijn twee ongerelateerde gebeurtenissen. De ene is een tiener uit Australie, en de ander phishde celebs in 2014.

[Reactie gewijzigd door We.are.cake op 23 juli 2024 02:59]

Rabb @We.are.cake23 november 2019 12:47
De menselijke schakel is het zwakste gedeelte van een beveiligingssysteem.

Social engineering is gewoon een vorm van hacken. Ook hiertegen dien je je te beschermen.
monojack @Rabb24 november 2019 15:01
Maar tegen social engineering bij gebruikers kan geen enkel bedrijf je beschermen.
Rabb @monojack24 november 2019 15:40
Er word niet voor niets gezegd dat je nooit je wachtwoord mag delen met anderen. Ook al lijkt het iemand van de support afdeling te zijn.

100% alles afvangen gaat niet. Maar je kunt weldegelijk veel doen. Duidelijke url's gebruiken, zaken als sms verificatie invoeren, etc.

Een hoop dingen worden afgevangen met uitleg over hoe je het systeem veilig gebruikt.

[Reactie gewijzigd door Rabb op 22 juli 2024 21:55]

Pim_t @Horatius22 november 2019 20:45
dus jij bent een voorstander van alleen nog maar hele grote monopolies bij een paar bedrijven die groot genoeg zijn om zich dat allemaal te veroorloven.
Sharkoon @Pim_t22 november 2019 21:15
Reken maar dat die bedrijven enorm veel geld hebben om alles te beveiligen! Het maakt denk ik niet eens uit hoeveel geld het kost om alles te beveiligen. Dat kan een klein bedrijf niet veroorloven. Al zouden ze dat wel moeten.
ochhanz @Sharkoon22 november 2019 21:40
OnePlus is geen klein bedrijf, het is onderdeel van Oppo wat vervolgens weer samen met Vivo en Realme onderdeel is van BBK Electronics Corporation dus samen hebben ze een flink deel van de Android smartphone markt in handen (vooral in absolute aantallen). Even c&p van wikipedia (en dit is alleen OnePlus en niet de rest van Oppo & Vivo etc meegerekend die veel meer marktaandeel hebben dan OnePlus):
Revenue US$1.9 billion (2019)[2]
Number of employees 2700+(2019)[2]

Smartphone marketaandeel verdeling -> https://www.counterpointr...-Market-Share-Q1-2019.jpg
En OnePlus marktaandeel premium smartphones -> https://www.counterpointr...Share-2019Q1-1024x576.jpg

[Reactie gewijzigd door ochhanz op 23 juli 2024 02:59]

powerboat @Sharkoon22 november 2019 23:11
Beveiliging hoeft opzich nog niet eens zo duur te zijn. Echter hebben de grote jongens vaak een (onnodig?) gecompliceerde omgeving die beschermd moet worden.
Verwijderd @Pim_t22 november 2019 21:17
En zelfs die worden gehackt.
Richo999 @Horatius22 november 2019 21:54
Misschien even paar artikelen terug lezen hier op tweakers :+
Trouwens jij hebt alleen AMD cpu, gezien Intel zo lek als een mandje is?

[Reactie gewijzigd door Richo999 op 23 juli 2024 02:59]

Roma33 @Horatius22 november 2019 20:47
https://nl.wikipedia.org/wiki/Cyberaanval_op_iCloud
Rabb @xoniq23 november 2019 12:45
Natuurlijk wel, dat heet social engineering.

Ongeoorloofd toegang krijgen tot een systeem is gewoon hacken.
WillySis @Richo99922 november 2019 22:02
Hacken kan je nooit voor 100% uitsluiten, maar je kan er wel voor zorgen dat je data redelijk versleuteld is. Dat maakt de kans dat een hacker iets met de buit kan een stuk kleiner.
Verder slaan veel bedrijven gewoon te veel gegevens op. Een telefoon nummer en verzend adres zijn handig, maar na een paar maanden heeft een bedrijf daar niet zo heel veel meer aan. Als bedrijven nu echt eens de data beperken tot "need to know" en data die niet (echt) relevant meer zijn wissen, dan hebben hackers niets meer te halen. Banken en creditcard instanties zouden er goed aan doen om bedrijven te verbieden om creditcardgegevens van klanten te bewaren. Als straf zouden ze de kosten van misbruik door een hack op die bedrijven kunnen verhalen.
frenkelhor @WillySis23 november 2019 08:35
Ik koop best veel bij Amazon en die hebben mijn CC gegevens ook opgeslagen, ik denk dat ze dat ook wel op een veilige manier doen.
Als je bij elke betaling alsmaar opnieuw CC gegevens moet invoeren geeft ook weer het risico dat je gegevens op dat moment gestolen worden.

Hackers zijn ook gewoon gelegenheids-dieven en het lijkt me makkelijker om de computer van de gebruiker te hacken om zo zijn CC gegevens afhandig te maken als die bij elke betaling weer al zijn CC gegevens gaat intikken.
WillySis @frenkelhor23 november 2019 10:26
Het hacken om van één (ov een klein aantal) klanten de cc gegevens te onderscheppen is veel minder lucratief dan in één keer duizenden cc gegevens binnen te halen. Als die gegevens ook nergens staan, is het voor hackers ook minder interessant om bedrijven te hacken.

Jij (en vele anderen) kiest voor gemak, ondanks dat dat niet de de meest veilige methode is. Ik heb mijn cc gegevens als commentaar in een password manager staan. Die heeft alles goed encrypted in een lokale database staan. Het is iets meer werk, maar 15 seconden voor een paar copy/paste acties vind ik geen overdreven moeite voor wat meer veiligheid.
Ik moet toegeven dat ik voorheen mijn cc ook aan Paypal had gekoppeld. Inmiddels is mijn CC veranderd en betaal ik het liefst direct met de cc en als ik Paypal gebruik zet ik daar zelf wel voldoende saldo op.

Er is bij mij een keer misbruik van mijn cc gemaakt (overigens niet door online gebruik) en dat geeft al genoeg gedoe. Een deel van het gedoe kwam wel omdat ik precies wist wie de creditcard in handen had gehad en ik naam, plaats, datum en tijd inclusief en handtekening op een formulier had staan.
TomONeill 22 november 2019 22:12
Geen mail hier. Nooit een garantieclaim ingediend, maar wel in 2016 de OP3 besteld van hun website (was volgens mij ook enige manier om te verkrijgen)
Robkazoe @TomONeill22 november 2019 22:48
Hier een oneplus 5, ook geen mail. Moeten dus recentere modellen zijn geweest die verkocht zijn.
frankbruins 22 november 2019 22:27
Toeval of niet, maar ook T-Mobile (Verenigde Staten) heeft, net nadat Oneplus bekend heeft gemaakt dat er gegevens gestolen zijn, ook bekend gemaakt dat klantengegevens zoals naam, telefoonnummer en adres in handen zijn gekomen van een ongeautoriseerde partij.

Aangezien Oneplus en T-Mobile in de VS samenwerken lijkt mij dit geen toeval.

Zelf heb ik OP7. Helaas heb ik wel een mail ontvangen van de gegevenslek. Een vriend van mij met een OP5 heeft geen mail gehad, waardoor het lijkt dat alleen recente gegevens zijn uitgelekt.

Bron: https://www.t-mobile.com/customers/6305378822
EdwinG @frankbruins23 november 2019 00:03
Lijkt er niet op, ik heb een 7T, maar geen mail ontvangen.
cracking cloud 22 november 2019 23:59
Zijn het gebruikers of zijn het klanten van OnePlus?
Anonymoussaurus
@cracking cloud23 november 2019 00:24
Klanten.
e.dewaal 23 november 2019 00:40
Complimenten aan OnePlus voor de berichtgeving. In vergelijking met sommige andere organisaties die het niet, of heel laat, aangeven als er iets misbruikt/gelekt is. OnePlus geeft zelf aan dat ze er afgelopen week achter gekomen zijn, vervolgens is er eerst contact gezocht met de betrokken personen, waarna het later in de media is gebracht. Fijn om te zien dat er ook bedrijven zijn die wel snappen hoe ze met hun klanten om moeten gaan.
SMGGM @e.dewaal23 november 2019 07:25
Ze zijn het wettelijk verplicht vanwege GDPR. Als er zoiets plaats gebeurt, moet men met de gegevensbescherming autoriteit van het land waarin je actief bent contact opnemen en de volgende acties bepalen.
Als het gaat om een geval zoals dit zal de instantie oordelen dat het zeer waarschijnlijk is dat de data misbruikt zal worden en moet het bedrijf zelf naar buiten komen en hun klanten inlichten, dit zelfs binnen een zeer korte periode (ik dacht maar een paar dagen).

In principe moet je zelfs al naar de instantie gaan als een werknemer hun laptop gestolen wordt met klantendata erop. Dan moet jij als bedrijf kunnen aantonen dat je voldoende maatregelen hebt genomen om misbruik te voorkomen (met andere woorden, encryptie gebruikt). Als je dit effectief kan aantonen, dan zal de instantie zelfs oordelen dat er niets hoeft gedaan te worden want de kans op misbruik is zeer onwaarschijnlijk.
jugger naut 22 november 2019 19:42
Het lijkt erop dat dit een gegevenslek is bij een van hun distributiepartners aan de gegevens te zien.
Randfiguur 22 november 2019 19:47
Toch interessant, die ontwikkeling richting bug bounties. 'White hat' hackers lijken wel een soort huurlingen te worden die voor veel geld in de (tegen)aanval gaan voor bedrijven. Als zoiets tenminste niet al lang gebeurt. Real-life cyberpunktaferelen, wat mij betreft.
heymil 22 november 2019 20:02
Ik heb een mail maar nog nooit een garantieverzoek gedaan, wel iets besteld...

'We are reaching out to you directly as we have discovered that part of your order information was accessed by an unauthorized party.'

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq