Un investigador de la firma israelí de seguridad Cybermoon.cc, ha descubierto una vulnerabilidad crítica en la web de AliExpress que podría permitir a un atacante robar información personal de cientos de millones de usuarios sin conocer sus contraseñas.
AliExpress es uno de los portales de venta de Alibaba.com, el gigante chino del comercio electrónico capaz de mover en solo una hora 2.000 millones de dólares en el “11.11 Shopping Festival” (similar al Cyber Monday estadounidense) y de batir en ingresos anuales la suma de Amazon y eBay.
Solo AliExpress tiene 300 millones de usuarios registrados en 200 países por lo que el fallo es potencialmente muy grave aunque la compañía ha recibido información completa del mismo del investigador y se espera que esté solucionada en las próximas horas.
AliExpress permite iniciar sesión de usuario para agregar / actualizar su dirección de envío y número de contacto en la siguiente URL: https: // trade.aliexpress.com ? /mailingaddress/mailingAddress.htm mailingAddressId = 123456.
“123456” es el ID de usuario del usuario conectado y el investigador comprobó que simplemente cambiando su valor podría explotarse la vunerabilidad. Un atacante con podría recoger información personal de millones de usuarios de AliExpress con sólo usar un script automatizado para rastrear ese “mailingAddress.htm” para todos los números posibles entre 1-99999999999 como valor del parámetro.
Fuente:https://muyseguridad.net/
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
