La compagnie OnePlus victime d’une brèche de donnée

Le fabricant de smartphone chinois, OnePlus, a été la victime d’une nouvelle brèche exposant les données sensibles de plusieurs clients.

La brèche a été révélé après que OnePlus ait informé ses clients via email et publié une courte page FAQ pour divulguer les informations à propos de cet incident de sécurité.

Selon OnePlus, la compagnie a découvert la brèche la semaine dernière après qu’un individu non-autorisé ait accédé aux informations de commandes des clients, ainsi que leur nom, leurs numéro de téléphone, leurs email et leur adresse de livraison.

“La semaine dernière en jetant un oeil à nos systèmes, notre équipe de sécurité a découvert que certaines informations d’utilisateurs ont été accédé par un parti non-autorisé,” a déclaré la compagnie.

OnePlus a aussi assuré que tout les clients ne sont pas affectés et que les hackers n’ont pas pu accéder aux informations de paiement, mots de passes et comptes associés.

Les utilisateurs affectés vont surement recevoir des spams et des emails d’hameçonnage à cause de cet incident.

OnePlus

La compagnie n’a pas fourni de détails concernant la vulnérabilité exploitée par les hackers. Ils ont cependant inspecté leurs serveurs pour s’assurer qu’il n’y a pas d’autres vulnérabilités similaires.

“Nous avons réagi immédiatement pour stopper les intrus et renforcer notre sécurité, nous assurant qu’il n’y a aucune autre vulnérabilité similaire,” a déclaré OnePlus. “Pour le moment, nous travaillons avec les autorités pour enquêter sur cet incident.”

A cause de cette brèche, la compagnie a finalement décidé de lancer un programme bug bounty à la fin du mois de Décembre 2019, permettant aux chercheurs et aux hackers d’être rémunéré pour le signalement de vulnérabilités avant que les cybercriminels ne puissent faire des dégâts.

“Nous améliorons continuellement notre programme de sécurité – nous nous associerons à une plateforme de sécurité renommée le mois prochain et lancerons un programme bug bounty à la fin du mois de Décembre,” a révélé la compagnie.

Que faire après cette brèche de OnePlus?

Bien que la brèche ne concerne pas les mots de passe de comptes OnePlus, il est quand même recommandé de changer le mot de passe de votre compte. Faites aussi attention aux emails d’hameçonnage.

OnePlus est une entreprise chinoise créée en décembre 2013. Basée à Shenzhen dans la province du Guangdong, elle est spécialisée dans la conception, le développement, la construction et la distribution de smartphones et écouteurs. La marque est présente dans 42 pays.

Ce n’est pas la première fois que la marque fait la une des journaux. En 2017 il avait été révélé que la société a installé un programme dans Android afin de truquer les résultats dans les tests matériel benchmark de ses appareils.

L’entreprise chinoise a aussi été accusé de collectionner des données par le biais d’un module du système d’exploitation, « OnePlus Analytics ». Les données transmises concernent des éléments liés à l’utilisation du smartphone, en particulier les heures et le rythme de son déverrouillage, ainsi que sa géolocalisation, notamment par les réseaux Wi-Fi auxquels l’appareil se connecte.

Et pour finir, en novembre 2017 un développeur a accédé au mode super-utilisateur de son smartphone OnePlus à l’aide de quelques commandes et d’une application. Un programme nommé « EngineerMode », installé sur les OnePlus 3, 3T, et 5, et pouvant être utilisé comme une porte dérobée, serait conçu pour des tests de fonctionnement en usine. Ce dernier peut utiliser le GPS, vérifier le statut root, ou la mémoire du smartphone.

Après cette dernière révélation, le fabricant explique qu’il va supprimer dans l’application EngineerMode la fonction autorisant l’accès aux privilèges root. Cependant le développeur qui a mis en lumière cette application en découvre une autre liée au débogage. Nommée « OnePlusLogKit », elle permet la collecte de différentes données sur le téléphone, dont les positions GPS, les connexions Bluetooth, NFC, Wi-Fi, les problèmes de charge ou de performance. La collecte est désactivée cependant n’importe quelle application système peut l’activer

Si cet article vous a plu, jetez un œil à notre article précédent.