Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Namen, adressen en telefoonnummers van OnePlus-gebruikers zijn gestolen

OnePlus heeft last van een datalek. Namen, telefoonnummers en adresgegevens van een onbekend aantal gebruikers zijn buitgemaakt, schrijft het bedrijf. OnePlus zegt dat het eind december met een eigen bugbountyprogramma komt.

OnePlus zegt dat er geen creditcard- of bankgegevens zijn gestolen. Wel zijn namen, leveradressen en contacttelefoonnummers buitgemaakt. Het lijkt er daardoor op dat het gaat om een lek bij gebruikers die ooit een garantieverzoek hebben ingediend bij OnePlus, maar dat is niet zeker. OnePlus schrijft dat getroffen gebruikers mogelijk slachtoffer kunnen worden van spam- of phishingmails.

Het is niet bekend hoe de hackers op de systemen van OnePlus zijn binnengedrongen. OnePlus heeft getroffen slachtoffers een e-mail gestuurd. Verschillende tweakers hebben die ook gekregen en laten zien. Het bedrijf heeft inmiddels ook een blogpost geplaatst met informatie. Volgens OnePlus hebben alle slachtoffers een bericht gekregen; gebruikers die dat niet hebben zijn niet getroffen door de hack. Het is niet duidelijk om hoeveel gebruikers het gaat.

Het is niet de eerste keer dat OnePlus te maken heeft met een datalek. In 2018 werden er 40.000 creditcardgegevens gestolen door een kwetsbaarheid op de website. Ook bleek er in 2017 een mogelijkheid in de telefoon te zitten om makkelijk roottoegang te krijgen. OnePlus zegt in de blogpost over het datalek dat het eind december met een eigen bugbountyprogramma komt. Details daarover, zoals de scope en de beloningen, zijn echter nog niet bekend.

Door Tijs Hofmans

Redacteur privacy & security

22-11-2019 • 19:39

72 Linkedin Google+

Submitter: HuntingVillager

Reacties (72)

Wijzig sortering
Ik heb geen mail gehad maar heb wel garantieverzoek gedaan vorig jaar. Zal ik dan geluk hebben of heeft niet iedereen de mail ontvangen
Ik heb geen mail gehad maar heb wel garantieverzoek gedaan vorig jaar. Zal ik dan geluk hebben of heeft niet iedereen de mail ontvangen
Het lijkt er daardoor op dat het gaat om een lek bij gebruikers die ooit een garantieverzoek hebben ingediend bij OnePlus, maar dat is niet zeker.

Het is niet zeker dat het alleen gaat om mensen die een garantieverzoek hebben ingediend.
Het is niet zeker dat het alleen gaat om mensen die een garantieverzoek hebben ingediend.
Niet alleen, maar in elk geval wel mensen die een garantieverzoek hebben ingediend. Waterkoker is daar een van maar heeft toch geen email ontvangen.
Kan natuurlijk gaan over een bepaald reparatiecentrum, of een bepaalde afdeling. Hoeft niet ALLE garantieverzoeken te zijn.
Ik heb geen garantieverzoek ingediend maar ik heb de mail ook gekregen. Dus daar lijkt het niet te zitten. Ben wel lid van het forum, maar daar heb ik dan weer geen telefoonnummer ingegeven.
Klopt. Ik heb de mail ook. Nooit beroep gedaan op garantie dus die aanname klopt niet.
Ik heb dat precies andersom dus ;-)
Grappig dat.
Ik heb nog nooit een garantie verzoek ingediend bij OnePlus. Alleen ~3 en half jaar geleden een telefoon daar aangeschaft. En ik heb wel de email gekregen.
Wat voegt de "Ook bleek er in 2017 een mogelijkheid in de telefoon te zitten om makkelijk roottoegang te krijgen." toe aan dit artikel als ik vragen mag?
Dat OnePlus op verschillende vlakken qua beveiliging wat steken heeft laten vallen.
Nou, dat op security gebied Oneplus eerder een steek heeft laten vallen.
Wat denk je nou zelf :?

Ik heb zelf de mail gehad om 18:45. Beetje jammer dit... Maar gelukkig gaat het hier niet om gevoelige data.
Maar even extra op phishing mailtjes letten...
Bedankt om het aan te kaarten. Het heeft inderdaad niets te maken met een "lek".
het verder tweaken van je telefoon dan de basic settings zoals een betere kernel draaien of betere bluetooth codex voor nog beter geluid etc.
In dit geval eerder kwaadwillenden die root rechten verkrijgen op je Phone met alle gevolgen van dien.
Ik heb de email ook gekregen. Beetje jammer. Ik was zo een grote OP fan, maar dat is de laatste jaar wel anders...en dit is helaas weer een smet.
Elk bedrijf heeft hier last van, hacken kan je nooit tegen gaan.
Wat een bullshit.
Ik heb nog nooit gehoord dat Apple, Microsoft of Google en datalek heeft gehad van zo een magnitude. En reken maar dat die een enorm target zijn.
Er is een reden dat ze niet tot zelden gehackt worden, zij hebben de boel op orde.
Ja het is waar dat je nooit hackproof bent tenzij je air-gapped(dan nog) bent maar dat betekent niet dat je je erbij moet neerleggen, dat dit gewoon gebeurt en het bedrijf geen extra blik waardig keuren.
Pardon? Ook die zijn wel eens gehackt op grote schaal Apple, Microsoft, Google
ja maar de bestanden op de servers van apple waren in ieder geval nog versleuteld dus de beste jongen kon er verder ook niks mee. wel een knappe prestatie maar compleet nutteloos geweest. bij deze hack bij op is er wel wat bruikbaars buit gemaakt.
Net eens gekeken naar link van google, daaruit kan ik niet opmaken dat google gehacked is. Mogelijks een forum waar mensen hun login en wachtwoord hebben ingegeven van hun google account...
Deze was legit. De bronnen van de wachtwoorden lijken verschillende leaks te zijn geweest, maar het valt niet uit te sluiten dat Google een van de bronnen was.
Uit je eigen gelinkte stukje.

"Hij deed zich in phishingmails voor als een beveiligingsmedewerker van Apple om zo achter inloggegevens te komen."

Wiens schuld is het dan? Niet die van Apple.

En dit zijn twee ongerelateerde gebeurtenissen. De ene is een tiener uit Australie, en de ander phishde celebs in 2014.

[Reactie gewijzigd door We.are.cake op 23 november 2019 12:43]

De menselijke schakel is het zwakste gedeelte van een beveiligingssysteem.

Social engineering is gewoon een vorm van hacken. Ook hiertegen dien je je te beschermen.
Maar tegen social engineering bij gebruikers kan geen enkel bedrijf je beschermen.
Er word niet voor niets gezegd dat je nooit je wachtwoord mag delen met anderen. Ook al lijkt het iemand van de support afdeling te zijn.

100% alles afvangen gaat niet. Maar je kunt weldegelijk veel doen. Duidelijke url's gebruiken, zaken als sms verificatie invoeren, etc.

Een hoop dingen worden afgevangen met uitleg over hoe je het systeem veilig gebruikt.

[Reactie gewijzigd door Rabb op 24 november 2019 16:17]

dus jij bent een voorstander van alleen nog maar hele grote monopolies bij een paar bedrijven die groot genoeg zijn om zich dat allemaal te veroorloven.
Reken maar dat die bedrijven enorm veel geld hebben om alles te beveiligen! Het maakt denk ik niet eens uit hoeveel geld het kost om alles te beveiligen. Dat kan een klein bedrijf niet veroorloven. Al zouden ze dat wel moeten.
OnePlus is geen klein bedrijf, het is onderdeel van Oppo wat vervolgens weer samen met Vivo en Realme onderdeel is van BBK Electronics Corporation dus samen hebben ze een flink deel van de Android smartphone markt in handen (vooral in absolute aantallen). Even c&p van wikipedia (en dit is alleen OnePlus en niet de rest van Oppo & Vivo etc meegerekend die veel meer marktaandeel hebben dan OnePlus):
Revenue US$1.9 billion (2019)[2]
Number of employees 2700+(2019)[2]

Smartphone marketaandeel verdeling -> https://www.counterpointr...-Market-Share-Q1-2019.jpg
En OnePlus marktaandeel premium smartphones -> https://www.counterpointr...Share-2019Q1-1024x576.jpg

[Reactie gewijzigd door ochhanz op 22 november 2019 21:41]

Beveiliging hoeft opzich nog niet eens zo duur te zijn. Echter hebben de grote jongens vaak een (onnodig?) gecompliceerde omgeving die beschermd moet worden.
En zelfs die worden gehackt.
Misschien even paar artikelen terug lezen hier op tweakers :+
Trouwens jij hebt alleen AMD cpu, gezien Intel zo lek als een mandje is?

[Reactie gewijzigd door Richo999 op 22 november 2019 21:55]

Natuurlijk wel, dat heet social engineering.

Ongeoorloofd toegang krijgen tot een systeem is gewoon hacken.
Hacken kan je nooit voor 100% uitsluiten, maar je kan er wel voor zorgen dat je data redelijk versleuteld is. Dat maakt de kans dat een hacker iets met de buit kan een stuk kleiner.
Verder slaan veel bedrijven gewoon te veel gegevens op. Een telefoon nummer en verzend adres zijn handig, maar na een paar maanden heeft een bedrijf daar niet zo heel veel meer aan. Als bedrijven nu echt eens de data beperken tot "need to know" en data die niet (echt) relevant meer zijn wissen, dan hebben hackers niets meer te halen. Banken en creditcard instanties zouden er goed aan doen om bedrijven te verbieden om creditcardgegevens van klanten te bewaren. Als straf zouden ze de kosten van misbruik door een hack op die bedrijven kunnen verhalen.
Ik koop best veel bij Amazon en die hebben mijn CC gegevens ook opgeslagen, ik denk dat ze dat ook wel op een veilige manier doen.
Als je bij elke betaling alsmaar opnieuw CC gegevens moet invoeren geeft ook weer het risico dat je gegevens op dat moment gestolen worden.

Hackers zijn ook gewoon gelegenheids-dieven en het lijkt me makkelijker om de computer van de gebruiker te hacken om zo zijn CC gegevens afhandig te maken als die bij elke betaling weer al zijn CC gegevens gaat intikken.
Het hacken om van één (ov een klein aantal) klanten de cc gegevens te onderscheppen is veel minder lucratief dan in één keer duizenden cc gegevens binnen te halen. Als die gegevens ook nergens staan, is het voor hackers ook minder interessant om bedrijven te hacken.

Jij (en vele anderen) kiest voor gemak, ondanks dat dat niet de de meest veilige methode is. Ik heb mijn cc gegevens als commentaar in een password manager staan. Die heeft alles goed encrypted in een lokale database staan. Het is iets meer werk, maar 15 seconden voor een paar copy/paste acties vind ik geen overdreven moeite voor wat meer veiligheid.
Ik moet toegeven dat ik voorheen mijn cc ook aan Paypal had gekoppeld. Inmiddels is mijn CC veranderd en betaal ik het liefst direct met de cc en als ik Paypal gebruik zet ik daar zelf wel voldoende saldo op.

Er is bij mij een keer misbruik van mijn cc gemaakt (overigens niet door online gebruik) en dat geeft al genoeg gedoe. Een deel van het gedoe kwam wel omdat ik precies wist wie de creditcard in handen had gehad en ik naam, plaats, datum en tijd inclusief en handtekening op een formulier had staan.
Geen mail hier. Nooit een garantieclaim ingediend, maar wel in 2016 de OP3 besteld van hun website (was volgens mij ook enige manier om te verkrijgen)
Hier een oneplus 5, ook geen mail. Moeten dus recentere modellen zijn geweest die verkocht zijn.
Toeval of niet, maar ook T-Mobile (Verenigde Staten) heeft, net nadat Oneplus bekend heeft gemaakt dat er gegevens gestolen zijn, ook bekend gemaakt dat klantengegevens zoals naam, telefoonnummer en adres in handen zijn gekomen van een ongeautoriseerde partij.

Aangezien Oneplus en T-Mobile in de VS samenwerken lijkt mij dit geen toeval.

Zelf heb ik OP7. Helaas heb ik wel een mail ontvangen van de gegevenslek. Een vriend van mij met een OP5 heeft geen mail gehad, waardoor het lijkt dat alleen recente gegevens zijn uitgelekt.

Bron: https://www.t-mobile.com/customers/6305378822
Lijkt er niet op, ik heb een 7T, maar geen mail ontvangen.
Complimenten aan OnePlus voor de berichtgeving. In vergelijking met sommige andere organisaties die het niet, of heel laat, aangeven als er iets misbruikt/gelekt is. OnePlus geeft zelf aan dat ze er afgelopen week achter gekomen zijn, vervolgens is er eerst contact gezocht met de betrokken personen, waarna het later in de media is gebracht. Fijn om te zien dat er ook bedrijven zijn die wel snappen hoe ze met hun klanten om moeten gaan.
Ze zijn het wettelijk verplicht vanwege GDPR. Als er zoiets plaats gebeurt, moet men met de gegevensbescherming autoriteit van het land waarin je actief bent contact opnemen en de volgende acties bepalen.
Als het gaat om een geval zoals dit zal de instantie oordelen dat het zeer waarschijnlijk is dat de data misbruikt zal worden en moet het bedrijf zelf naar buiten komen en hun klanten inlichten, dit zelfs binnen een zeer korte periode (ik dacht maar een paar dagen).

In principe moet je zelfs al naar de instantie gaan als een werknemer hun laptop gestolen wordt met klantendata erop. Dan moet jij als bedrijf kunnen aantonen dat je voldoende maatregelen hebt genomen om misbruik te voorkomen (met andere woorden, encryptie gebruikt). Als je dit effectief kan aantonen, dan zal de instantie zelfs oordelen dat er niets hoeft gedaan te worden want de kans op misbruik is zeer onwaarschijnlijk.
Het lijkt erop dat dit een gegevenslek is bij een van hun distributiepartners aan de gegevens te zien.
Toch interessant, die ontwikkeling richting bug bounties. 'White hat' hackers lijken wel een soort huurlingen te worden die voor veel geld in de (tegen)aanval gaan voor bedrijven. Als zoiets tenminste niet al lang gebeurt. Real-life cyberpunktaferelen, wat mij betreft.
Ik heb een mail maar nog nooit een garantieverzoek gedaan, wel iets besteld...

'We are reaching out to you directly as we have discovered that part of your order information was accessed by an unauthorized party.'


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Auto

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True