Vulnerabilidad en la web de AliExpress expone información privada de millones de usuarios

Share this…

Un investigador de la firma israelí de seguridad Cybermoon.cc, ha descubierto una vulnerabilidad crítica en la web de AliExpress que podría permitir a un atacante robar información personal de cientos de millones de usuarios sin conocer sus contraseñas.

AliExpress es uno de los portales de venta de Alibaba.com, el gigante chino del comercio electrónico capaz de mover en solo una hora 2.000 millones de dólares en el “11.11 Shopping Festival” (similar al Cyber Monday estadounidense) y de batir en ingresos anuales la suma de Amazon y eBay.

Vulnerabilidad en la web de AliExpress expone información privada de millones de usuarios

Solo AliExpress tiene 300 millones de usuarios registrados en 200 países por lo que el fallo es potencialmente muy grave aunque la compañía ha recibido información completa del mismo del investigador y se espera que esté solucionada en las próximas horas.

AliExpress permite iniciar sesión de usuario para agregar / actualizar su dirección de envío y número de contacto en la siguiente URL: https: // trade.aliexpress.com ? /mailingaddress/mailingAddress.htm mailingAddressId = 123456.

“123456” es el ID de usuario del usuario conectado y el investigador comprobó que simplemente cambiando su valor podría explotarse la vunerabilidad. Un atacante con podría recoger información personal de millones de usuarios de AliExpress con sólo usar un script automatizado para rastrear ese “mailingAddress.htm” para todos los números posibles entre 1-99999999999 como valor del parámetro.

Fuente:https://muyseguridad.net/