Comprobar que punto de investigadores identificaron recientemente una vulnerabilidad en portal AliExpress que podría potencialmente llevar a informaciones sensibles robadas, principalmente datos de tarjeta de crédito. AliExpress es una web de compras muy popular que abastece a alrededor 100 millones de clientes. Los usuarios pueden encontrar casi cualquier cosa en el sitio, y sus cupones de atraen clientes nuevos y antiguos.
no es raro ver a AliExpress pidiendo a los usuarios a poner sus datos de tarjeta de crédito para un control más rápido y más suave hacia fuera, y a menudo darán cupones a cambio. Los investigadores han descubierto un hackers de manera podrían teóricamente se aprovecha de eso y los usuarios sin saberlo proporcionaría su información bancaria a partes malintencionadas.
Cómo podría trabajar el ataque
Los atacantes potenciales enviaría correos electrónicos con enlaces a una página de AliExpress comprometida con un código JavaScript malicioso. Teóricamente, si alguien hace clic en el enlace y entro en la pagina, el código malicioso se ejecutaría en el navegador del usuario, que le permitiría eludir la protección de AliExpress contra ataques de secuencias de comandos entre sitios.
Una vez en el sitio, un pop-up aparecería, idéntico a lo legítimos AliExpress cupón pop-up, afirmando que se puede obtener un cupón si pones tus datos de tarjeta de crédito. Si pones en la información, en lugar de un control más rápido y más suave, le proporciona los atacantes con su información bancaria.
“Los atacantes luego podrían presentar una oferta cupón emergente en la pantalla de inicio – ejecuta un AliExpress propiedad subdominio – pidiendo a los clientes para proporcionar datos de tarjeta de crédito para permitir una experiencia de compra más suave y más eficiente. Los atacantes, sin embargo, únicamente controlan esta ventana emergente con todos los datos de tarjeta de crédito entrados directamente a ellos en lugar del sitio de compras,”investigadores de seguridad Dikla Barda, report romano Zaikin y Oded Vanunu.
Aunque este tipo de ataque sólo es teórica, es probable que sería para tener éxito. Esto es en gran parte debido a que AliExpress mostrar ventanas emergentes similares, donde se solicita a los usuarios a poner sus datos de tarjeta para garantizar una mejor experiencia de compra, además de cupones. Así que si los usuarios tienen el maliciosos ventanas emergentes, incluso las más prudentes de seguridad no podrían sospecha que algo anda mal.
Una explicación completa sobre cómo los investigadores descubrieron la vulnerabilidad se puede encontrar here.
AliExpress fijo la vulnerabilidad
Los investigadores que descubrió el defecto reportaron a AliExpress, que inmediatamente fijo que dentro de dos días.
“Después de descubrir la vulnerabilidad, comprobar punto investigadores inmediatamente informó a AliExpress (9 Oct) que, debido a que seguridad cibernética muy en serio, tomó medidas rápidas y fija plazo de dos días de la notificación (11 de Oct). Esto es muy loable y un ejemplo para otros minoristas en línea.”