Check Forscher Point vor kurzem eine Schwachstelle im AliExpress-Portal, die auf gestohlenen vertrauliche Informationen, vor allem Kreditkartendaten führen könnte. AliExpress ist ein weithin beliebten shopping-Website, die rund 100 Millionen Kunden bietet. Benutzer können fast alles auf der Website finden, und ihre Coupons gewinnen Sie neue und wiederkehrende Kunden.
es ist nicht ungewöhnlich, dass AliExpress Fragen von Benutzern, ihre Kreditkartendaten für eine schneller und reibungsloser Check-out zu setzen, und sie geben oft Coupons im Austausch. Forscher haben einen Weg Hacker entdeckt theoretisch profitieren Sie davon und Benutzer unwissentlich ihre Bankdaten auf böswillige Dritte zur Verfügung stellen würde könnte.
Wie konnte der Angriff arbeiten
Potenzielle Angreifer würde Versenden von e-Mails mit Links zu einer kompromittierten AliExpress Seite mit einem bösartigen Javascriptcode. Theoretisch, wenn jemand auf den Link geklickt haben und die Seite eingegeben, würde die bösartige Code im Browser des Benutzers ausgeführt werden die it allow would to AliExpress Schutz gegen Cross-Site-scripting-Attacken zu umgehen.
Einmal auf der Website, ein Pop-up scheint identisch mit der legitimen AliExpress Coupon Pop-up, behauptet, dass Sie einen Gutschein bekommen können, wenn man in Ihre Kreditkartendaten. Wenn Sie in den Informationen, anstatt ein schneller und reibungsloser Check-out, setzte würde Sie Angreifer mit Ihren Bankdaten anbieten.
“Die Angreifer könnte dann präsentieren ein Pop-up-Gutschein-Angebot auf dem home-Bildschirm – unter einer AliExpress besaß Subdomain – Fragen Kunden Kreditkartendetails, um ein reibungsloser und effizienter shopping-Erlebnis zu ermöglichen.” Die Angreifer sind jedoch ausschließlich Steuerung dieses Popup-Fenster mit allen Kreditkarten-Angaben direkt an sie, anstatt der shopping-Site gesendet”Sicherheitsexperten Dikla Barda, Roman Zaikin und Oded Vanunu report.
Obwohl diese Art des Angriffs nur theoretisch ist, ist es wahrscheinlich, dass es sein würde, um erfolgreich zu sein. Dies ist weitgehend auf die Tatsache, dass AliExpress ähnliche Popups angezeigt wird, wo Benutzer aufgefordert werden, legen Sie in ihre Kreditkarten-Daten mehr Einkaufserlebnis zusätzlich Gutscheine sicherzustellen. Wenn Benutzer die bösartigen Pop-ups haben, selbst die vorsichtigsten Sicherheit, nicht vermuten könnte, also etwas falsch.
here finden Sie eine vollständige Erklärung wie Forscher die Sicherheitslücke entdeckt.
AliExpress die Sicherheitslücke behoben
Es Berichten die Forscher, die den Fehler entdeckt, AliExpress, wer sofort es innerhalb von zwei Tagen behoben.
“Nach der Entdeckung der Verletzlichkeit, Check Point Forscher sofort informiert AliExpress (9. Oktober), die durch die Cyber-Sicherheit sehr ernst nehmen, rasches Handeln nahm und es innerhalb von zwei Tagen nach der Mitteilung (11. Oktober) behoben. “Das ist sehr lobenswert und setzt ein Zeichen zu anderen Online-Händlern.”