中国メーカー OnePlus、約5年ぶりとなるミドルレンジスマートフォン「OnePlus Nord」やIoT家電「OnePlus TV」の発表など今年度は幅広い事業展開を見せていますが、セキュリティ上の問題を抱えているようです。
2020年7月24日、米投稿サイト Redditにてある画像がシェアされました。
OnePlusが顧客に送ったメールで宛先を”CC”にして一斉送信し、メールを受け取ったユーザーは数百ものOnePlusユーザーのメールアドレスが閲覧できる状態にあったとのこと。
通常、このようなメールは宛先を”BCC”し、受信者が他の受信者のメールアドレスが見えないように設定されます。
このメール送信方法は、新入社員が研修で必ずと言っても良いほど指導される基本的なビジネスマナーの1つです。
このような初歩的なミスがOnePlusで起きていることに驚きが隠せません。
同社は、今年6月30日にも米国の修理サービスプロバイダーのシステムにて顧客の氏名、電話番号、メールアドレス、IMEI番号、および住所を含む顧客データが危険に晒されている脆弱性が発見され、7月3日に声明を発表。
2019年11月には、特定の注文上での顧客の名前・メールアドレス・配送先住所などの顧客情報の一部が流出した可能性があると発表。
2018年1月には、OnePlus公式Webサイトがハッキングされ約4万人のクレジットカード情報が流出する事件も起きています。
度重なる問題で、かねてからセキュリティや顧客データの管理体制が問題視されていたOnePlusですが、2019年12月にセキュリティスタートアップ企業HackerOneのプラットフォームを利用し、バグバウンティプログラムを開始し、セキュリティ体制を見直すことを発表。
この取り組みで、少しは改善されると思いきや直近の1ヶ月で2度のセキュリティリスクに直面しています。
完成度も高く、魅力的な製品だけにその他の要因でマイナスイメージが付いてしまうことは避けたいところです。
source(1)