Conecta con nosotros

Noticias

Vulnerabilidad en la web de AliExpress expone información privada de millones de usuarios

Publicado el

web de AliExpress

web de AliExpress

Un investigador de la firma israelí de seguridad Cybermoon.cc, ha descubierto una vulnerabilidad crítica en la web de AliExpress que podría permitir a un atacante robar información personal de cientos de millones de usuarios sin conocer sus contraseñas.

MS Recomienda

Aprende a realizar streaming de vídeo de forma eficaz Leer
Estudio "La virtualización en las empresas españolas" ¡Descárgate el informe!
Gestiona los dispositivos de tu empresa de forma inteligente Leer

AliExpress es uno de los portales de venta de Alibaba.com, el gigante chino del comercio electrónico capaz de mover en solo una hora 2.000 millones de dólares en el “11.11 Shopping Festival” (similar al Cyber Monday estadounidense) y de batir en ingresos anuales la suma de Amazon y eBay.

Solo AliExpress tiene 300 millones de usuarios registrados en 200 países por lo que el fallo es potencialmente muy grave aunque la compañía ha recibido información completa del mismo del investigador y se espera que esté solucionada en las próximas horas.

AliExpress permite iniciar sesión de usuario para agregar / actualizar su dirección de envío y número de contacto en la siguiente URL: http: // trade.aliexpress.com ? /mailingaddress/mailingAddress.htm mailingAddressId = 123456. 

«123456» es el ID de usuario del usuario conectado y el investigador comprobó que simplemente cambiando su valor podría explotarse la vunerabilidad. Un atacante con podría recoger información personal de millones de usuarios de AliExpress con sólo usar un script automatizado para rastrear ese «mailingAddress.htm» para todos los números posibles entre 1-99999999999 como valor del parámetro.

El investigador ha mostrado una prueba de concepto en vídeo de esta vulnerabilidad crítica que afortunadamente ha sido comunicada a tiempo a la firma de comercio electrónico.

Coordino el contenido editorial de MC. Colaboro en medios profesionales de TPNET: MCPRO, MuySeguridad, MuyCanal y Movilidad Profesional.

Lo más leído