A questão de segurança do Alibaba coloca milhões de usuários em risco

AlibabaO time dele Alibaba, reparou um sério problema de segurança em um dos portais de comércio eletrônico, que expôs as contas de milhares de comerciantes e compradores a cibercriminosos.

Uma empresa de segurança israelense, a AppSec Labs, encontrou uma vulnerabilidade de script entre sites (XSS) no AliExpress, a versão em inglês do site da empresa de comércio eletrônico, que se mostrou vulnerável a vulnerabilidades de segurança semelhantes há uma semana, colocando em risco informações pessoais. Alibaba dados do cliente. O problema foi corrigido imediatamente após ser notificado à empresa pela Cybermoon.

O AliExpress é um mercado on-line de propriedade do gigante chinês do comércio eletrônico Alibaba.com, também conhecido como Google na China. A empresa atende a mais de 300 milhões de usuários ativos de mais de 200 países, incluindo Estados Unidos, Rússia e Brasil. A vulnerabilidade crítica encontrada pelo pesquisador pode permitir que um invasor invada a conta de qualquer comerciante.

Qualquer intruso poderia colocar qualquer script de carga útil como uma variável na mensagem e, quando o vendedor fosse ao centro de mensagens no site do AliExpress, usando sua conta, o script malicioso seria executado no navegador do usuário. Também pode executar ações por parte do vendedor, ataques de phishing, roubo de identidade de vítima etc.

A vulnerabilidade foi descoberta por Barak Tawily, pesquisador de aplicativos de segurança de 21 anos do AppSec Labs. Aproveitando essa vulnerabilidade, ele foi capaz de alterar os preços dos produtos, excluir as mercadorias e até fechar a loja do comerciante no site, sem, é claro, que este soubesse alguma coisa.