Akıllı telefonlarında bulunan bir yazılımla kullanıcılarının gizli bilgilerini paylaşan OnePlus, bu durumun birkaç kez ortaya çıkmasına rağmen izinsiz olarak bilgiler paylaşmaya devam ediyor. Bilgilerin paylaşıldığı sistemlerden birisi de banka hesaplarını tanımak için özelleştirilmiş.
OnePlus müşterilerinin gizliliğini önemsememeye ve müşteri bilgilerini Çin’de bulunan şirketlere satmaya devam ediyor. Aylar önce kullanıcıların not defterine kaydettiği bilgileri paylaşmasıyla gündeme gelen şirket, ardından not defterinde bulunan bilgileri paylaştığının ortaya çıkmasıyla haberimize konu olmuş, tüm bunlar için özür dilemiş ve bilgilerin paylaşılmasını durdurma seçeneğinin sisteme yerleştirileceğini söylemişti. Bu olayların ortaya çıkmasından ders almayan şirketin, şimdi de son derece önemli kullanıcı bilgilerini Çin’deki bir şirketle paylaştığı ortaya çıktı.
https://twitter.com/fs0c131y/status/956648476770697216
Twitter’da Elliot Alderson ismini kullanan bir güvenlik araştırmacısı tarafından ortaya çıkarılan olay, Badword.txt isimli bir dosyanın bulunmasıyla gündeme geldi. İçerisinde Chairman, Vice President, Deputy Director, Associate Professor, Deputy Heads, General, Private Message, shipping, Address, email gibi telefon için anlam ifade etmeyen, garip kelimeler bulunan bu dosya, araştırmacının çalışmalarına göre TeddyMobile’a ait olan ve OnePlus modellerinde yer alan 6 dosyadan birisi. Çin’deki birçok akıllı telefon üreticisiyle çalışan TeddyMobile, SMS ve numara üzerinden cihaz sahibini bulmaya kadar birçok alanda farklı hizmet sunuyor. Bu sistemleri inceleyen Elliot Alderson, OnePlus cihazlarında kopyalanan metinlerin ve SMS mesajlarının TeddyMobile’a gönderildiği ortaya çıkardı.
https://twitter.com/fs0c131y/status/956638599289737217
Banka hesaplarını tanıyan sistem geliştirilmiş
Sistemin nasıl çalıştığını anlamak ve gönderilen bilgileri incelemek adına TeddyMobile’ın verilerini inceleyen Elliot Alderson, oldukça ciddi bir durumla karşılaşmış. Aşağıdaki tweet’te de görebileceğiniz gibi sistemde banka hesap bilgilerinin tanınmasını ve ayrı olarak gruplandırılmasını sağlayan bir seçenek bulunuyor. Yani OnePlus cihazınız varsa ve banka hesap bilgilerinizi kopyalıyor veya birine SMS üzerinden gönderiyorsanız, istemeseniz de bilgiler dünyanın bir diğer ucunda bulunan TeddyMobile’ın eline geçiyor.
https://twitter.com/fs0c131y/status/956649951056064513
OnePlus, bu haberi paylaşan bazı kaynaklara açıklamalarda bulundu ve bilgi paylaşımının olduğunu reddetti, ancak farklı araştırmacılar da durumun doğru olduğunu dile getirdi. Şirket başka bir açıklamada bulunmadı.
OnePlus’tan alışveriş yapanların kredi kartı bilgileri ele geçirilmişti
Banka bilgilerinin çalınması, bazı kaynakların iddia ettiğine göre geçtiğimiz günlerde gündeme gelen bir haberle yakından alakalı. OnePlus müşterileri, internet sitesi üzerinden alışveriş yaptıkları kredi kartlarının başkaları tarafından kullanıldığını paylaşmış, akıllı telefon üreticisinin kredi kartlarını çaldığını iddia etmişti. OnePlus’tan bu iddialara “Alışveriş işlemlerine anlaşmalı olduğumuz bir şirket bakıyor, biz kredi kartı bilgilerini saklamıyoruz.” şeklinde yanıt gelmişti, ancak bu açıklamanın hemen ardından kredi kartı bilgilerini çaldıran tarafın OnePlus olduğu anlaşılmıştı. Bilgilerin çalınması ise şirketin sitesi hacklenmesi ve bu şekilde bilgilere ulaşılmasıyla gerçekleşmiş.
Elbette bu iddianın doğru olduğu söylenemez, ancak kullanıcılarının banka hesabı bilgilerini bu bilgileri tanımak adına özel bir sistemi olan şirkete gönderen cihaz üreticisinin, kredi kartı olayında da daha büyük bir suçunun olabileceğini düşünmek pek mantıksız sayılmaz.
https://twitter.com/fs0c131y/status/956646618345984010
Yukarıda yer alan tweet’te Android ID, CPU Seri Numarası, Cihaz ID, Donanım Seri Numarası, IMEI, IP Adresi, Mac Adresi, Telefon numarası, Cihaz çözünürlüğü bilgilerini edinen komut yer alıyor.
OnePlus neden banka hesabı bilgilerini paylaşıyor?
TeddyMobile gibi şirketler, farklı platformlar ve üreticilerle çalışarak birçok bilgiyi toplar ve araştırma, pazarlama yapmak isteyen şirketlere bu bilgileri belirli bir ücret karşılığında satar. OnePlus’ın da bu şirkete bilgileri gönderme karşılığında para aldığı, yani kullanıcılarının en özel bilgilerini sattığı düşünülüyor. Akılları kurcalayan bir diğer soru da bu şirketin banka hesabı bilgileriyle ne yapmayı amaçladığı. Şirketin banka hesap bilgilerini fark edebilen bir sistem geliştirdiği göz önünde bulundurulsa, bilgilerin banka hesaplarına göre bir sonraki kurbanlarını belirleyecek hırsızlara satıldığını düşünmek çok abartılı olmazdı.