Check Point исследователи недавно выявленные уязвимости в портале AliExpress, которая потенциально могла привести к кражи конфиденциальной информации, главным образом детали кредитной карты. AliExpress является широко популярный торговый веб-сайт, который обслуживает около 100 миллионов клиентов. Пользователи могут найти практически все на сайте, и их купоны привлечь новых и возвращающихся клиентов.
Как нападение может работать
Возможные атаки будет отправить электронную почту с ссылками на скомпрометированных AliExpress страницы с вредоносным кодом JavaScript. Теоретически если кто-то нажал на ссылку и страницы, вредоносный код будет выполнен в браузере пользователя, которое позволило бы обойти AliExpress в защиту против атак межузловых сценариев.
Один раз на сайте, pop-up представляется, идентичен законным во всплывающем купона AliExpress, утверждая, что вы можете получить купон, если вы положили в данные вашей кредитной карты. Если вы положил в информации, вместо того, чтобы быстрее и глаже проверить, вы бы предоставление нападавших с вашей банковской информации.
«Нападавшие затем могли бы представить предложение всплывающее купон на домашнем экране – работает под AliExpress, принадлежащих субдомен – просим клиентов предоставить данные кредитной карты для более гладкой и более эффективным торговый опыт. Нападавшие, однако, исключительно контролируют этот всплывающее окно все реквизиты кредитной карты введены направлены непосредственно на них, а не торговый сайт,» исследователи безопасности Дикле Барда, Роман Заикин и Вануну, Одед report.
Хотя этот вид атаки только теоретическим, вполне вероятно, что он окажется успешным. Это главным образом тем, что AliExpress показывают аналогичные всплывающие окна, где пользователи попросили положить в их детали карты для обеспечения лучшего торговый опыт, помимо купоны. Так что если пользователи получили вредоносных всплывающие окна, даже самых осторожных безопасности те могут не подозревать что-то не так.
Полное объяснение на как исследователи обнаружили уязвимость можно найти here.
AliExpress Исправлена уязвимость
Исследователей, которые обнаружили дефект сообщил AliExpress, который немедленно зафиксировал его в течение двух дней.
«После обнаружения уязвимости, проверить точки исследователи немедленно сообщил AliExpress (9 октября), который, благодаря очень серьезно кибербезопасности, принял оперативные меры и фиксированной в течение двух дней с момента уведомления (11 октября). Это заслуживает высокой оценки и является примером для других Интернет-магазинах.»