Vérifiez que les chercheurs ont récemment identifié une vulnérabilité dans portail AliExpress susceptible d’entraîner à des informations sensibles volées, principalement les détails de carte de crédit. AliExpress est un site très populaire qui s’adresse à environ 100 millions de clients. Les utilisateurs peuvent trouver presque n’importe quoi sur le site, et leurs coupons attirent des clients nouveaux et anciens.
Comment l’attaque pourrait fonctionner
Les attaquants potentiels seraient envoient des courriels avec des liens vers une page AliExpress compromise avec un code JavaScript malicieux. Théoriquement, si quelqu’un clique sur le lien et saisi la page, le code malveillant serait exécuté dans le navigateur de l’utilisateur, ce qui lui permettrait de contourner la protection de AliExpress contre attaques cross-site scripting.
Une fois sur le site, un pop-up apparaît, identique à la légitime AliExpress coupon pop-up, prétendant que vous pouvez obtenir un coupon si vous mettez vos coordonnées de carte de crédit. Si vous n’a mis dans l’information, au lieu d’un contrôle plus rapide et plus fluide, vous fournirait des attaquants avec vos informations bancaires.
« Les attaquants peuvent alors faire une offre de coupon pop-up sur l’écran d’accueil – qui s’exécute sous un AliExpress appartenant sous-domaine – demande à des clients de fournir des détails de carte de crédit afin de permettre une expérience de magasinage plus lisse et plus efficace. Les assaillants, cependant, sont uniquement contrôler cette fenêtre pop-up avec tous les détails de carte de crédit entré directement à eux plutôt que sur le site de magasinage, » chercheurs en sécurité Dikla Barda, report Roman Zaikin et Oded Vanunu.
Bien que ce genre d’attaque n’est que théorique, il est probable qu’il se révélera pour être réussie. C’est en grande partie dû au fait que AliExpress affiche-t-il des pop-ups similaires, où les utilisateurs sont invités à mettre dans leurs détails de carte afin d’assurer une expérience de magasinage mieux, en plus de bons de réduction. Alors si les utilisateurs a obtenu les pop-ups malveillants, même ceux plus prudent sécurité ne pourrait pas soupçonne que quelque chose ne va pas.
On trouvera une explication complète sur la façon dont les chercheurs ont découvert la vulnérabilité here.
AliExpress fixe la vulnérabilité
Les chercheurs qui ont découvert la faille a signalé à AliExpress, qui immédiatement le fixe dans les deux jours.
« Après avoir découvert la vulnérabilité, vérifier les chercheurs immédiatement informé AliExpress (9 Oct) qui, en raison de la prendre très au sérieux, les cybersécurité ont pris des mesures rapides et le fixe dans les deux jours de la notification (11 Oct). C’est très louable et donne l’exemple à d’autres détaillants en ligne. »