この報道はOnePlusの同社公式ウェブサイト上のサポートフォーラムで分かったもので、顧客から不正にクレジットカードが使われていたという書き込みがありました。

　このサポートフォーラムの内容によると、被害にあったユーザーが彼のクレジットカードの２つが最後の6ヶ月間に使用されていたとのことで、その使用した唯一の場所がOneplusウェブサイトだということです。また、そのクレジット番号がOneplusに残っており、彼はOnePlus公式サイトから直接、新しい携帯電話やいくつかのアクセサリーを買った後、自分のクレジットカード番号を入力したとのことで、その入力後からこのクレジットカードの番号が危険にさらされていたと主張しました。

　サイバーセキュリティ会社Fidusも発表されたブログ記事を読み、調べたところ、 OnePlusウェブサイトのオンサイトの決済システムに疑惑があり、OnePlusウェブサイトのサーバーが危険にさらされている可能性があると疑っています。

　Fidusによると、OnePlusは現在、顧客が入力した全てのクレジットカードの詳細と一緒にすべての課金情報がOnePlus公式ウェブサイトを通じて流れ、攻撃者によって傍受ており、このクレジット番号を使って不正に取引を行っているとのことです。

　OnePlusの支払いの詳細は、フォームの送信時に、サードパーティのプロバイダに送り出していますが、一方で悪意のあるコードは、データが暗号化される前に、クレジットカードの詳細を盗んでいるようだとFidusは話しております。

　また、Oneplusがクレジットカードの情報を格納している点について、Oneplus側はそのウェブサイト上の任意のクレジットカード情報が格納されていないと、すべての支払取引は、そのPCI-DSS準拠の支払い処理パートナーを通じて行われていることを確認できないと話ししております。

　今回のOnePlus事件について同社は多くの情報を明らかにすると表明していますが、その公式サイトがどのMagentoの脆弱性の影響を受けるか現在では確認できておりません。現時点での被害額等は全く不明だということで、被害に遭っている場合は支払いを逆に銀行に連絡してアドバイスをもらうようにとOnePlusは話しております。