Selectievakje punt onderzoekers onlangs geïdentificeerd een beveiligingslek in AliExpress portaal geheugenbeschadiging die tot gevoelige gegevens van gestolen, voornamelijk credit card gegevens leiden kan. AliExpress is een zeer populair shopping website dat geschikt voor ongeveer 100 miljoen klanten is. Gebruikers kunnen bijna alles op de site vinden, en hun coupons zowel nieuwe en terugkerende klanten aantrekken.

Vulnerability in AliExpress's portal could lead to stolen credit card details het is niet ongewoon om te zien van AliExpress vraagt gebruikers om te zetten in hun credit card-gegevens voor een sneller en soepeler check out, en ze vaak geven coupons in ruil. Onderzoekers hebben ontdekt een manier hackers kunnen theoretisch Profiteer daarvan, en de gebruikers zou onbewust geven hun bankgegevens schadelijke partijen.

Hoe de aanval zou kunnen werken

Potentiële aanvallers zou sturen e-mails met links naar een gecompromitteerde AliExpress pagina met een kwaadaardige JavaScript-code. Theoretisch, als iemand op de link geklikt en de pagina ingevoerd, zou de schadelijke code worden uitgevoerd in de browser, waardoor het voor rondweg AliExpress de bescherming tegen aanvallen via cross-site scripting.

Eens op de site, een pop-up venster zou verschijnen, identiek aan de legitieme AliExpress coupon pop-up, beweren dat je een coupon krijgen kunt als je in uw credit card gegevens. Als u in de informatie, in plaats van een sneller en soepeler check out, zette zou u worden voorzien van aanvallers uw bankgegevens.

“De aanvallers kon dan een pop-up coupon aanbod aanwezig op het huisscherm – wordt uitgevoerd onder een AliExpress eigendom subdomein – vragen klanten om credit card gegevens te voorzien in een soepeler en meer efficiënt winkelervaring. De aanvallers, echter uitsluitend beheert dit pop-up venster met alle creditcardgegevens ingevoerd die rechtstreeks aan hen in plaats van de winkelsite, verzonden”zekerheidstelling onderzoeker Dikla Barda, Roman Zaikin en Oded Vanunu report.

Hoewel dit soort aanval alleen theoretisch is, is het waarschijnlijk dat het blijken zou te zijn succesvol. Dit is grotendeels te wijten aan het feit dat AliExpress soortgelijke pop-ups blijkt, waarin gebruikers wordt gevraagd om te zetten in hun kaartgegevens om een betere winkelervaring, naast coupons. Dus als gebruikers kreeg de kwaadaardige pop-ups, zelfs de meest beveiliging-voorzichtig zijn niet vermoed dat er iets mis is dat misschien.

Een volledige uitleg over hoe onderzoekers het beveiligingslek ontdekten kan worden gevonden here.

AliExpress vaste de kwetsbaarheid

De onderzoekers die de fout ontdekt gerapporteerd op AliExpress, die onmiddellijk het binnen twee dagen bevestigde.

“Na de ontdekking van het beveiligingslek, Check Point onderzoekers onmiddellijk geïnformeerd AliExpress (9 okt), die als gevolg van cyberveiligheid zeer serieus te nemen snelle actie heeft en bevestigde het binnen twee dagen na de kennisgeving (11 oktober). Dit is zeer prijzenswaardig en een voorbeeld voor andere online boekhandelaren.”

Geef een reactie