Check Point araştırmacılar son zamanlarda AliExpress Portal’da çalıntı duyarlı bilgiler, öncelikle kredi kartı ayrıntıları yol açması olası bir güvenlik açığı tespit edilmiştir. AliExpress yaklaşık 100 milyon müşteriye hitap yaygın popüler bir alışveriş sitesidir. Kullanıcılar sitede hemen hemen her şeyi bulabilirsiniz ve onların Kuponlar yeni ve geri gelen müşterileri çekmek.
daha hızlı ve düzgün bir kontrol için kendi kredi kartı detayları koymak için kullanıcılar soran AliExpress görmek için nadir değildir ve sık sık kuponları karşılığında veriyorlar. Araştırmacılar bir yol kesmek teorik olarak bu yararlanmak ve kullanıcılar bilmeden kendi bankacılık bilgi kötü niyetli kişilere içermediği ortaya çıkardı.
Nasıl saldırı işe yarayabilir
Potansiyel saldırganların kötü amaçlı bir JavaScript kodu ile bir uzlaşma AliExpress sayfasına bağlantılar ile e-posta göndermek. Eğer birisi linke tıkladım ve sayfasında girilen bilgilerle, teorik olarak, kötü amaçlı kod AliExpress’ın siteler arası komut dosyası çalıştırma saldırılarına karşı koruma atlamasına izin vermezler kullanıcının tarayıcısında idam.
Bir kez sitede, açılır pencere, kredi kartı bilgilerinizi koyarsanız bir kupon alabilirsiniz iddia meşru AliExpress kupon açılır pencere aynı görünür. Eğer bilgi bir daha hızlı ve düzgün check-out, yerine koydunuz saldırganların bankacılık bilgilerinizle sağlamak.
“Saldırganlar daha sonra bir açılan kupon teklif ev ekranda – alt etki alanı müşteriler daha düzgün ve daha verimli bir alışveriş deneyimi için izin vermek için kredi kartı bilgilerinizi sağlamak için soruyorum – ait bir AliExpress altında çalışan mevcut. Saldırganlar, ancak, yalnızca doğrudan onları yerine alışveriş sitesi, gönderilen bu açılır pencereyi girilen tüm kredi kartı ayrıntıları ile kontrol edersiniz”güvenlik araştırma Dikla Barda, Roma Zaikin ve Oded Vanunu report.
Böyle bir saldırı sadece teorik olmakla birlikte, başarılı olarak kanıtlamak olasıdır. Gerçeğini nerede kullanıcıların yanı sıra Kuponlar bir daha iyi alışveriş deneyimi sağlamak için onların kart bilgilerini koymak istenir AliExpress benzer açılır pencereleri, büyük ölçüde gösteriyor nedeni bu. Kullanıcıların kötü amaçlı açılır pencereleri varsa, hatta en güvenlik dikkatli olanlar değil şüpheli böylece bir sorun var.
Tam bir açıklama nasıl keşfetti araştırmacılar güvenlik açığı üstünde-ebilmek bulunmak here.
Güvenlik açığı AliExpress sabit
Kusur bulan araştırmacılar bu iki gün içinde bunu hemen hazırlayan AliExpress rapor.
“Güvenlik açığı keşfetmek sonra kontrol noktası araştırmacılar hemen cybersecurity çok ciddiye alarak nedeniyle hızlı hareket aldı AliExpress (9 Ekim) bilgili ve bildirim (Ekim 11) itibaren iki gün içinde sabit. Bu son derece övgüye değerdir ve diğer online perakendecilerin örnek ayarlar.”