Recentemente, pesquisadores de ponto de verificação identificada uma vulnerabilidade no AliExpress portal que pode potencialmente levar a informações confidenciais roubadas, principalmente os detalhes do cartão de crédito. AliExpress é um site de compra amplamente popular que atende a aproximadamente 100 milhões de clientes. Os usuários podem encontrar quase nada no site, e seus cupons atraem clientes novos e de retorno.
Como funcionaria o ataque
Invasores potenciais iria mandar e-mails com links para uma página de AliExpress comprometida com um código JavaScript malicioso. Teoricamente, se alguém clicar no link e entrou a página, o código malicioso poderia ser executado no navegador do usuário, que lhe permitiria contornar a proteção do AliExpress contra ataques de script entre sites.
Uma vez no site, um pop-up apareceria, idêntico ao legítimo AliExpress cupom pop-up, alegando que você pode obter um cupom, se você colocar seus dados de cartão de crédito. Se você colocou as informações, em vez de uma seleção mais rápida e suave, você iria ser fornecendo os atacantes com suas informações bancárias.
“Os atacantes poderiam então apresentar uma oferta de cupom pop-up na tela inicial – executando sob um subdomínio – pedindo que os clientes fornecem detalhes de cartão de crédito para permitir uma experiência de compras mais suave e mais eficiente de propriedade de AliExpress. Os atacantes, entretanto, são unicamente controlando esta janela pop-up com todos os detalhes de cartão de crédito entrado enviada diretamente para eles, ao invés do site de compras,”pesquisadores de segurança Dikla Barda, report Roman Zaikin e Oded Vanunu.
Embora este tipo de ataque é apenas teórico, é provável que isso provaria ser bem sucedido. Isto é em grande parte devido ao fato de que AliExpress mostrar pop-ups semelhantes, onde os usuários são convidados a colocar em seus detalhes do cartão para garantir uma melhor experiência de compras, além de cupons. Assim se os usuários tem as pop-ups maliciosas, mesmo os mais cautelosos de segurança não podem suspeitar que algo está errado.
Uma explicação completa sobre como os investigadores descobriram a vulnerabilidade pode ser encontrada em here.
AliExpress fixo a vulnerabilidade
Os pesquisadores que descobriram a falha informou o AliExpress, que imediatamente fixa-lo no prazo de dois dias.
“Depois de descobrir a vulnerabilidade, pesquisadores de ponto verificar imediatamente informado AliExpress (9 Outubro) que, devido a segurança cibernética a tomar muito a sério, levou uma acção rápida e fixa-lo no prazo de dois dias de notificação (11 de Oct). Isto é altamente louvável e define um exemplo para outros varejistas on-line.”