Tarkista kohta tutkijat äskettäin todettu haavoittuvuuden AliExpress portaali, joka voi johtaa varastettu arkaluonteisia tietoja, ensisijaisesti luottokorttitiedot. AliExpress on hyvin suosittu ostokset kudos, joka palvelee noin 100 miljoonaa asiakasta. Käyttäjät voivat löytää lähes mitä tahansa sivuston ja niiden kuponkeja houkutella uusia ja palaaville asiakkaille.

Vulnerability in AliExpress's portal could lead to stolen credit card details ei ole harvinaista nähdä AliExpress pyytää käyttäjää laittaa luottokorttitiedot lastuamista tarkistaa ja ne usein antavat Kupongit exchange. Tutkijoiden on paljastunut tapa hakkerit voisi teoriassa hyödyntää sitä ja käyttäjät tietämättään antaisi niiden pankkitietoja haittaohjelmiin osapuolille.

Miten hyökkäys voisi toimia

Pahantahtoista lähettää sähköpostia linkkejä vaarantunut AliExpress-sivulle, ohjelman haittakoodilla. Teoriassa jos joku napsautti linkkiä ja tuli sivulla, haitallista koodia suorittaa käyttäjän selain, jonka avulla se ohittaa AliExpress’s suojaa Sivustojenvälisten komentosarjojen hyökkäyksiltä.

Kerran päällä, pop-up näyttäisi sama laillinen AliExpress kuponki pop-up, väittäen, että saat kuponki, jos laitat luottokorttitiedot. Jos laitat tiedot sijasta lastuamista tarkistaa, tarjota hyökkääjät pankki-tiedot.

”Hyökkääjät voisi sitten esittää pop-up Kupongin tarjous aloitusnäytössä – running AliExpress omistaa aliverkkotunnuksen – pyytää asiakasta antamaan luottokorttitietoja jotta joustavammin ja tehokkaammin ostokokemuksen. Hyökkääjät ovat ainoastaan valvoa tämän ponnahdusikkuna luottokorttitietoja tuli lähetetään suoraan niitä kuin shopping sivusto ”, järki Dikla Bərdən, Roman Zaikin ja Oded Vanunu report.

Vaikka tällainen hyökkäys on vain teoreettinen, on todennäköistä, että se osoittaa onnistuisi. Tämä on suurelta osin siitä, että AliExpress näyttää samanlainen ponnahdusikkunoita, joissa käyttäjää pyydetään laittaa tietonsa kortin varmistaa paremmin shopping kokemus, lisäksi kuponkeja. Joten jos käyttäjät ilkeä ponnahdusikkunoita, jopa turvallisuuden varovaisemmin niistä voisi epäillä jotain on vialla.

Täydellinen selvitys siitä, miten tutkijat havainneet haavoittuvuuden löytyy here.

AliExpress kiinteä haavoittuvuutta

Tutkijat, joka löysi virheen ilmoittanut AliExpress, joka välittömästi vahvistaa kahden päivän kuluessa.

”Tutustumisen jälkeen haavoittuvuuden, tarkista kohta tutkijat heti ilmoitti AliExpress (9 lokakuu), joka johtuu tietoverkkojen erittäin vakavasti, otti ripeästi ja korjasi sen kahden päivän kuluessa ilmoituksesta (lokakuu 11). Tämä on erittäin myönteistä ja on esimerkkinä muille online jälleenmyyjille ”.

Vastaa