تحقق من نقطة الباحثون مؤخرا وجود ثغرة أمنية في موقع AliExpress التي يمكن أن تؤدي إلى سرقة المعلومات الحساسة، وتفاصيل بطاقة الائتمان في المقام الأول. الإكسبرس هو موقع تسوق شعبية على نطاق واسع لتلبية احتياجات العملاء حوالي 100 مليون. المستخدمين يمكن العثور على أي شيء تقريبا على الموقع، والقسائم على جذب العملاء الجدد والعائدين على حد سواء-

Vulnerability in AliExpress's portal could lead to stolen credit card details فإنه ليس من غير المألوف أن نرى AliExpress يسأل المستخدمين لوضع في تفاصيل بطاقة الائتمان لفحص أسرع وأكثر سلاسة من، وأنهم كثيرا ما نعطيه قسائم الصرف. وكشفت الباحثين المتسللين طريقة يمكن نظرياً الاستفادة من ذلك، والمستخدمين تدري سيوفر المعلومات المصرفية الخاصة بهم إلى الأطراف الخبيثة.

كيف يمكن أن تعمل الهجوم

أن إرسال رسائل البريد الإلكتروني مع وصلات إلى صفحة AliExpress الشبهة مع رمز جافا سكريبت خبيثة المهاجمين المحتملين. نظرياً، إذا كان شخص ما بالنقر فوق الارتباط، ودخلت الصفحة، أن تنفيذ التعليمات البرمجية الضارة في المستعرض الخاص بالمستخدم، مما يسمح لها بتجاوز الإكسبرس للحماية من هجمات البرمجة النصية للمواقع المشتركة.

مرة واحدة على الموقع، منبثقة يبدو مطابقاً للقسيمة AliExpress المشروعة المنبثقة، مدعيا أنه يمكنك الحصول على قسيمة إذا وضعت في تفاصيل بطاقة الائتمان الخاصة بك. إذا وضعت في المعلومات، بدلاً من شيك أسرع وأكثر سلاسة، سوف يكون تزويد المهاجمين بالمعلومات المصرفية الخاصة بك.

“المهاجمين يمكن ثم يقدم عرضاً قسيمة منبثقة على الشاشة الرئيسية – يعمل تحت الإكسبرس ملكيتها لفرعي – طلب العملاء لتقديم تفاصيل بطاقة الائتمان للسماح لتجربة تسوق أكثر سلاسة وأكثر كفاءة. بيد أن المهاجمين، فقط تتحكم هذه النافذة المنبثقة مع جميع تفاصيل بطاقة الائتمان دخلت إرسالها مباشرة إلى لهم بدلاً من موقع التسوق، “الأمن الباحثين بردا دقلة، report زيكين الرومانية وعوديد فانونو.

على الرغم من أن هذا النوع من الهجوم فقط النظرية، فمن المرجح أن ذلك يثبت أن تكون ناجحة. وهذا إلى حد كبير إلى حقيقة أن AliExpress إظهار الإطارات المنبثقة مماثلة، حيث تتم مطالبة المستخدمين بوضع في تفاصيل بطاقة لضمان تجربة تسوق أفضل، بالإضافة إلى كوبونات. حتى إذا حصلت المستخدمين على النوافذ المنبثقة الضارة، حتى تلك الأكثر حذراً من الأمن قد تشك لا شيء خاطئ.

يمكن الاطلاع على شرح كامل عن كيف اكتشف الباحثون الضعف here.

الإكسبرس الثابتة الضعف

الباحثون الذين اكتشفوا الخلل تم إبلاغ AliExpress، الذين فورا أنها ثابتة في غضون يومين.

“بعد اكتشاف مشكلة عدم الحصانة هذه، تحقق من نقطة الباحثين فورا أبلغ الإكسبرس (9 أكتوبر) منظمة الصحة العالمية، اتخذ إجراءات سريعة بسبب أخذ الأمن الحاسوبي على محمل الجد، وأنها ثابتة خلال يومين إخطار (11 أكتوبر). وهذا هو الثناء ويقدم مثالاً لتجار التجزئة على الإنترنت الأخرى. “

أضف تعليق