Společnost byla nařčena z toho, že sbírá osobně-identifikovatelná data uživatelů bez jejich svolení. Zjistil to softwarový inženýr Christopher Moore, když si na svém telefonu OnePlus 2 nastavil OWASP ZAP, bezpečnostní nástroj pro detekci útočných webových aplikací. Všiml si, že jsou HTTPS požadavky odesílány na doménu vlastněnou společností OnePlus, zvanou open.oneplus.net. Datový provoz byl následně přesměrován na server Amazon AWS ve Spojených státech.
Po dekódování dat Moore zjistil, že jeho zařízení na server odesílalo detaily časového razítka určitých událostí, jako třeba to, kdy byly otevřeny a zavřeny určité aplikace, kdy byl zapnutý displej, zamykání a odemykání a doba nabíjení.
Navíc OnePlus sbíral také „IMEI telefonu, telefonní čísla, MAC adresy, názvy mobilních sítí a předčíslí IMSI, ale i ESSID a BSSID mé bezdrátové sítě a samozřejmě sériové číslo telefonu.“
Moore píše, že některá z těchto dat mohou být vázána na konkrétní uživatele a že OnePlus nežádá o povolení k jejich sběru. Poznamenává, že ačkoliv sdílení některých informací o zařízení, jako jsou opakované nevysvětlitelné restarty, mohou výrobci pomoci reagovat na problémy, to, co dělá OnePlus, se zdá být až příliš.
Společnost ve svém komentáři napsala: „Bezpečně přenášíme analytická data dvěma různými proudy přes HTTPS na server Amazonu. První proud jsou analytická data o používání, která sbíráme, abychom mohli přesněji vyladit náš software na základě chování uživatele.“
„Tento přenos uživatelské aktivity může být vypnut v menu nastavení. (…) Druhým proudem jsou informace o zařízení, které sbíráme, abychom mohli nabídnout lepší poprodejní podporu. Žádná analytická data nesdílíme s třetími stranami.“
Zdroj: Techspot.com