מהנדס תוכנה בשם כריסטופר מור (Christopher Moore) פרסם פוסט בבלוג האישי שלו בו הוא חושף כי חברת OnePlus מסוגלת לאסוף כמויות אדירות של מידע על אנשים שמשתמשים בכל אחד ממכשירי הטלפונים החכמים של החברה.
את הדברים הוא גילה במהלך אתגר פריצות תחרותי (Hack Challenge), בו הצליח מור לחדור לקרביים של מכשיר ה-OnePlus 2 שברשותו, ולצפות בכל תעבורת המידע שלו באינטרנט, הן היוצאת והן הנכנסת. לדבריו הוא הבחין בכמות גדולה של בקשות לשליחת מידע לשרת בכתובת open.oneplus.net דרך פרוטוקול HTTPS, השייך לדומיין שבבעלות החברה. מור אף הצליח לפענח את המידע המוצפן שנשלח לשרת, וגילה כי מדובר ברישום של כל הפעמים בהם נעל את המכשיר, שחרר אותו מנעילה או שהתבצע בו אתחול בלתי צפוי, לפי זמנים.
בעוד ששליחת מידע לחברה על אתחול בלתי צפוי של המכשיר נשמעת לגיטימית לצורך תיקון באגים במערכת ההפעלה, הרישום על נעילת ופתיחת המכשיר נראה לו מיותר וחשוד למדי. הוא המשיך לחפור וגילה כי חלק מהמידע שנשלח לשרתי OnePlus מכיל גם את המספר הסידורי של המכשיר, מספר הדגם המזהה הייחודי שלו (IMEI), כתובות ה-MAC שלו, מספר הקו הסלולרי, ושמות של רשתות סלולריות ואלחוטיות שאליהן התחבר המכשיר אי פעם. מאוחר יותר אף גילה כי כל הפעמים בהן פתח אפליקציות שונות נרשמות אף הן בשרתי החברה.
מור פנה לחברת OnePlus כדי לברר את העניין, וקיבל את התגובה הבאה: “אנחנו משדרים באופן מאובטח שני סוגים של תעבורת מידע שונות דרך פרוטוקול HTTPS לשרת שנמצא בחוות השרתים של אמזון (Amazon). האחד הוא מידע שימוש אנליטי, שאנחנו אוספים כדי לכוונן את מערכת ההפעלה שלנו לפי התנהגות המשתמש. ניתן לכבות זאת על ידי גישה להגדרות – מתקדם – הצטרף לתוכנית חווית המשתמש. הזרם השני הוא מידע על המכשיר, שאנו אוספים כדי לספק תמיכה טובה יותר לאחר מכירת המכשירים”.
בעוד שלא ניתן לבטל לחלוטין את שליחת זרם המידע השני, משתמשים בטוויטר כבר גילו דרך כיצד ניתן לעקוף זאת – על ידי הסרת השירות שאחראי לשדר את המידע, OnePlus System Service. ניתן לבצע זאת דרך פקודות ADB כפי שמצויין כאן. יחד עם זאת, האחריות לביצוע הפעולה הזו היא על המשתמש בלבד.