Selectievakje punt onderzoekers onlangs geïdentificeerd een beveiligingslek in AliExpress portaal geheugenbeschadiging die tot gevoelige gegevens van gestolen, voornamelijk credit card gegevens leiden kan. AliExpress is een zeer populair shopping website dat geschikt voor ongeveer 100 miljoen klanten is. Gebruikers kunnen bijna alles op de site vinden, en hun coupons zowel nieuwe en terugkerende klanten aantrekken.
Hoe de aanval zou kunnen werken
Potentiële aanvallers zou sturen e-mails met links naar een gecompromitteerde AliExpress pagina met een kwaadaardige JavaScript-code. Theoretisch, als iemand op de link geklikt en de pagina ingevoerd, zou de schadelijke code worden uitgevoerd in de browser, waardoor het voor rondweg AliExpress de bescherming tegen aanvallen via cross-site scripting.
Eens op de site, een pop-up venster zou verschijnen, identiek aan de legitieme AliExpress coupon pop-up, beweren dat je een coupon krijgen kunt als je in uw credit card gegevens. Als u in de informatie, in plaats van een sneller en soepeler check out, zette zou u worden voorzien van aanvallers uw bankgegevens.
“De aanvallers kon dan een pop-up coupon aanbod aanwezig op het huisscherm – wordt uitgevoerd onder een AliExpress eigendom subdomein – vragen klanten om credit card gegevens te voorzien in een soepeler en meer efficiënt winkelervaring. De aanvallers, echter uitsluitend beheert dit pop-up venster met alle creditcardgegevens ingevoerd die rechtstreeks aan hen in plaats van de winkelsite, verzonden”zekerheidstelling onderzoeker Dikla Barda, Roman Zaikin en Oded Vanunu report.
Hoewel dit soort aanval alleen theoretisch is, is het waarschijnlijk dat het blijken zou te zijn succesvol. Dit is grotendeels te wijten aan het feit dat AliExpress soortgelijke pop-ups blijkt, waarin gebruikers wordt gevraagd om te zetten in hun kaartgegevens om een betere winkelervaring, naast coupons. Dus als gebruikers kreeg de kwaadaardige pop-ups, zelfs de meest beveiliging-voorzichtig zijn niet vermoed dat er iets mis is dat misschien.
Een volledige uitleg over hoe onderzoekers het beveiligingslek ontdekten kan worden gevonden here.
AliExpress vaste de kwetsbaarheid
De onderzoekers die de fout ontdekt gerapporteerd op AliExpress, die onmiddellijk het binnen twee dagen bevestigde.
“Na de ontdekking van het beveiligingslek, Check Point onderzoekers onmiddellijk geïnformeerd AliExpress (9 okt), die als gevolg van cyberveiligheid zeer serieus te nemen snelle actie heeft en bevestigde het binnen twee dagen na de kennisgeving (11 oktober). Dit is zeer prijzenswaardig en een voorbeeld voor andere online boekhandelaren.”