大约一周前，我们开始看到一加店客户的信用卡和银行账户月结单上有欺诈性收费的报告。原来，一加网站遭到了攻击，攻击内容是在支付页面代码中注入恶意脚本。在确认问题并暂时关闭其网站上的信用卡支付后，该公司在其博客中发布了关于调查的最新信息。

发生了什么事？

Reddit和一加论坛都报道了一加支付页面被攻击的迹象，但Fidus研究人员首先得出以下结论：(1)一加信用卡支付网关Cyber Source被黑客攻击，或者(2)网店被黑客攻击。

最初，一加声称其网站不处理信用卡，也不在其服务器上存储信用卡信息。然而，公司商店中的支付处理表单容易受到中间人攻击。黑客可以在网页中注入恶意的JavaScript，从网页中吸收数据。

最重要的是，Fidus研究人员发现，一加的支付页面不符合英国卡协会的PCI-DSS标准，这与该公司的说法背道而驰。PCI-DSS的要求之一是公司的服务器必须“对公网上持卡人数据和敏感信息的传输进行加密”，但事实并非如此。

原因是什么？

一加表示，其系统遭到攻击，当客户输入支付页面代码时，一个旨在窃听信用卡数据的恶意脚本被注入其中。该团队了解到，恶意脚本会间歇性运行，直接从用户那里捕获数据并将其发送到异地服务器。

一加本周识别并删除了该脚本，并采取预防措施隔离受感染的服务器并“加强所有相关系统结构”。但它表示，多达4万名用户可能会受到影响。

谁受影响，哪个受损？

该公司表示，从2017年11月中旬到2018年1月11日，任何使用信用卡从一加商店购买商品的客户都可能受到违规行为的影响。泄露的支付数据包括信用卡号、到期日期和安全代码，以及完成购买所需的任何其他信息。

但也有一线希望。谁有一张带有Wamparas文件的信用卡，但谁的客户没有达到这个不受购买影响的时间限制，谁就不是用PayPal付款的用户。

你该怎么办？

如果您最近在一加的网站上购买了商品，并且担心您的信息可能被窃取，公司建议您联系其支持团队。此外，如果您在网站上发现可能的漏洞，建议您向security@oneplus.net发送报告。

一加建议客户检查他们的银行和信用卡对账单，并向银行和/或信用卡发行商报告未知的购买情况。他们将退款以防止任何经济损失。

一加现在在做什么？

一加为付款违约道歉，并对社区识别欺诈性付款方式表示“永远的感谢”。该公司表示，正在审查日志，联系可能受违规影响的人，并与支付提供商和地方当局合作，以防止未来发生事故。

一加还表示，计划在其网站上实施“更安全”的信用卡支付方式，并正在进行深入的安全审计，以查看攻击者是否可以利用任何其他漏洞。

现在说还为时过早，但PCI安全标准委员会可能会调查该公司，因为该公司未能对其网站上的支付信息进行加密。将来，他们可能会被罚款，甚至被禁止支持信用卡支付。